Hälso- och sjukvårdsnämnden i Region Dalarna

IMY har inlett en tillsyn av Region Dalarna efter att ha tagit emot klagomål som gör gällande att regionen skrivit ut kallelser till patientbesök där vårdinrättningen som besöket avser har varit fullt synlig i fönsterkuvertet.

IMY har kommit fram till att behandlingen av personuppgifter i det aktuella fallet är delvis automatiserad och att dataskyddsförordningen är tillämplig. Användningen av fönsterkuvert vid utskick av kallelser från de mottagningar som granskningen omfattar, där aktuell vårdinrättning varit synlig i fönsterkuvertet, innebär att känsliga personuppgifter obehörigen har röjts för ett okänt antal personer som kommit i kontakt med brevet. Det handlar om cirka 2 500 kallelser per år, bland annat till en barn- och ungdomsmedicinsk mottagning och en samtalsmottagning för barn och unga.

Hälso- och sjukvårdsnämnden i Region Dalarna uppger att den upphandlat en tjänst för utskick av kallelser där det inte ska framgå av kuvertet vilken mottagning som en kallelse till vårdbesök avser. Efter att IMY inlett tillsyn genomförde nämnden dock en utredning som visade att den aktuella tjänsten inte omfattade alla kallelser och att kallelser från vissa vårdinrättningar därför skickats i kuvert som visat vilken klinik besöket avsåg.

IMY konstaterar i sitt beslut att regionen inte har vidtagit tillräckliga säkerhetsåtgärder för att skydda känsliga personuppgifter mot obehörigt röjande i samband med utskick av fysiska kallelser till vissa vårdbesök inom regionen. Myndigheten utfärdar därför en administrativ sanktionsavgift på 200 000 kronor mot regionen för överträdelse av dataskyddsförordningen.