Hoppa till innehåll på sidan

Hälso- och sjukvårdsnämnden i Region Dalarna

Tillsyn enligt dataskyddsförordningen. Beslut 2023-01-17.

Status i tillsyn

Beslutet har överklagats

  • Överklagan Steg 1 av 3
  • Process i domstol Steg 2 av 3
  • Domstolens avgörande Steg 3 av 3, Aktiv

Steg 3 av 3 i processen för överklagande

Domstolens avgörande

IMY har utfärdat en administrativ sanktionsavgift på 200 000 kronor mot regionen för överträdelse av dataskyddsförordningen. Region Dalarna överklagade beslutet till Förvaltningsrätten i Stockholm som avslog överklagandet. Region Dalarna överklagade domen till Kammarrätten i Stockholm som avslog överklagandet genom dom den 12 mars 2024 i mål nr 5794-23.

IMY har inlett en tillsyn av Region Dalarna efter att ha tagit emot klagomål som gör gällande att regionen skrivit ut kallelser till patientbesök där vårdinrättningen som besöket avser har varit fullt synlig i fönsterkuvertet.

IMY har kommit fram till att behandlingen av personuppgifter i det aktuella fallet är delvis automatiserad och att dataskyddsförordningen är tillämplig. Användningen av fönsterkuvert vid utskick av kallelser från de mottagningar som granskningen omfattar, där aktuell vårdinrättning varit synlig i fönsterkuvertet, innebär att känsliga personuppgifter obehörigen har röjts för ett okänt antal personer som kommit i kontakt med brevet. Det handlar om cirka 2 500 kallelser per år, bland annat till en barn- och ungdomsmedicinsk mottagning och en samtalsmottagning för barn och unga.

Hälso- och sjukvårdsnämnden i Region Dalarna uppger att den upphandlat en tjänst för utskick av kallelser där det inte ska framgå av kuvertet vilken mottagning som en kallelse till vårdbesök avser. Efter att IMY inlett tillsyn genomförde nämnden dock en utredning som visade att den aktuella tjänsten inte omfattade alla kallelser och att kallelser från vissa vårdinrättningar därför skickats i kuvert som visat vilken klinik besöket avsåg.

IMY konstaterar i sitt beslut att regionen inte har vidtagit tillräckliga säkerhetsåtgärder för att skydda känsliga personuppgifter mot obehörigt röjande i samband med utskick av fysiska kallelser till vissa vårdbesök inom regionen. Myndigheten utfärdar därför en administrativ sanktionsavgift på 200 000 kronor mot regionen för överträdelse av dataskyddsförordningen.

Beslut

17 januari 2023

Pdf, 137 kB

Läs dokumentet (pdf, 137 kB)

Ärendehistorik

  • Tillsyn inleds

    Vi inleder tillsyn.

  • Beslut

    Vi fattar ett beslut i tillsynen, 17 januari 2023.

  • Överklagan

    Beslutet är överklagat till förvaltningsrätten.

  • Överklagandet avslås

    Förvaltningsrätten i Stockholm avslår Region Dalarnas överklagande.

    Mål nr 1930-23, 7 september 2023.

  • Prövningstillstånd i kammarrätten

    Förvaltningsrättens dom  har överklagats till kammarrätten. Kammarrätten i Stockholm meddelade prövningstillstånd.

    Mål nr  5794-23 den 15 december 2023.

  • Kammarrättens dom

    Kammarrätten i Stockholm avslog överklagandet genom dom den 12 mars 2024 i mål nr 5794-23.

Senast uppdaterad: 18 januari 2023
Sidans etiketter Dataskydd