Sanktionsavgift mot Region Uppsala som brustit i sin säkerhet

Integritetsskyddsmyndigheten (IMY) har tagit emot två rapporter om personuppgiftsincidenter från Region Uppsala. Incidenterna omfattar känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige.

IMY har med anledning av incidentrapporterna inlett en granskning av regionen (regionstyrelsen och sjukhusstyrelsen) och konstaterar i sina två beslut att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.

– Det är frågan om uppgifter om hälsa och därmed känsliga personuppgifter. Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi som lett de två granskningarna.

Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.

Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna i denna granskning utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.

– Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver.