Sanktionsavgift mot Region Skåne
IMY inledde tillsyn mot Region Skåne efter att ha tagit emot en inrapporterad personuppgiftsincident och klagomål från registrerade. Av incidentanmälan framgår att en medarbetare tappat bort ett okrypterat usb-minne som innehåller personnummer och känsliga personuppgifter om närmare 2 000 personer. Under granskningen har framkommit att usb-minnet inte har återfunnits.
IMY:s slutsats är att de tekniska och organisatoriska åtgärder som regionen vidtagit inte var tillräckliga för att försäkra sig om en lämplig säkerhetsnivå i förhållande till risken med behandlingen. Detta eftersom regionen har lagrat känsliga personuppgifter på ett okrypterat usb-minne som sedan tappats bort. Innehållet på usb-minnet kopplar ihop uppgifter om hälsa med ett stort antal patienter genom deras personnummer, vilket innebär en hög risk för de registrerades fri- och rättigheter.
− Att regionen inte har uppfyllt säkerhetskraven enligt dataskyddsförordningen i det här fallet är allvarligt eftersom det är frågan om en sådan typ av personuppgifter som kräver ett starkt skydd, säger tf. enhetschef Linn Sandmark som beslutat i ärendet.
Hon fortsätter:
− Det är regionen i egenskap av personuppgiftsansvarig som har det yttersta ansvaret för hur personuppgifterna hanteras i verksamheten. I det ansvaret ingår bland annat att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Det ska vara lätt att göra rätt för personalen, säger hon.
IMY konstaterar i sitt beslut att överträdelsen rör ett stort antal registrerade vars personuppgifter skyddas av sekretess. Det är dessutom en försvårande omständighet att usb-minnet inte återfunnits och att det är oklart vilken spridning personuppgifterna kan ha fått. IMY bestämmer utifrån en samlad bedömning att regionen ska betala en administrativ sanktionsavgift på 200 000 kronor.
För mer information kontakta
Tf. enhetschef Linn Sandmark, telefon 08-515 154 21
Presstjänsten, telefon 08-515 15 415
Fler nyheter inom ämnet
-
IMY klar med ytterligare granskningar av Meta-pixeln
20 december 2024 -
SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
19 december 2024 -
EDPB yttrar sig över träning och användning av AI-modeller
18 december 2024 -
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024
Fler nyheter inom ämnet
-
IMY klar med ytterligare granskningar av Meta-pixeln
20 december 2024 -
SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
19 december 2024 -
EDPB yttrar sig över träning och användning av AI-modeller
18 december 2024 -
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024