Datainspektionen meddelar på sin webbplats att Umeå universitet bötfällts med 550 000 kronor för överträdelse av artiklarna 5.1 (f), 32.1-32.2, 33.1 och 33.5 i dataskyddsförordningen (“GDPR”) då universitetet hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.
Av beslutet framgår att en forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.
Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till den amerikanska molntjänsten Box, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten. Enligt Datainspektionen ger molntjänsten och sättet som universitetet använder den på inte ett tillräckligt skydd för den här typen av personuppgifter.
När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över okrypterad e-post och via öppet nät. Enligt Datainspektionen visar dessa händelser att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident. Enligt Datainspektionen är den personuppgiftsansvarige skyldig att anmäla incidenter till myndigheten och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.
Sammantaget gör de konstaterade bristerna att Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.