Hoppa till innehåll på sidan

Universitet brast i skyddet av känsliga personuppgifter

Publicerad: 11 december 2020
Umeå universitet har hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att skydda uppgifterna tillräckligt. Integritetsskyddsmyndigheten utfärdar därför en sanktionsavgift på 550 000 kronor mot universitetet.

Integritetsskyddsmyndigheten har nu avslutat en granskning av Umeå universitet och konstaterar att universitetet brutit mot dataskyddsförordningen när det hanterat känsliga personuppgifter utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

En forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.

Integritetsskyddsmyndighetens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till en amerikansk molntjänst, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten.

– Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Integritetsskyddsmyndighetens granskning.

När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över oskyddad e-post.

– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Integritetsskyddsmyndigheten riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident. Sedan 25 maj 2018 finns en skyldighet för organisationer att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten.

– Den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.

Sammantaget gör de konstaterade bristerna att Integritetsskyddsmyndigheten utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.

Läs Integritetsskyddsmyndighetens beslut i pdf-format (pdf, 333 kB)

För mer information kontakta

Jurist Linda Hamidi, telefon 08-657 61 81

IT-säkerhetsspecialist Johan Ma, telefon 08-657 61 67

Presstjänst, telefon 08-515 15 415

Senast uppdaterad: 21 april 2021
Sidans etiketter Dataskydd, Utbildning
Senast uppdaterad: 21 april 2021
Sidans etiketter Dataskydd, Utbildning