Region Uppsala, personuppgiftsincidenter
Status i tillsyn
-
Inledd Steg 1 av 3
-
Pågår Steg 2 av 3
-
Beslut Steg 3 av 3, Aktiv
Steg 3 av 3 i tillsynsprocessen
Beslut
IMY utfärdar två administrativa sanktionsavgifter, en på 300 000 kronor mot regionstyrelsen i Region Uppsala och en på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.
IMY har med anledning av två anmälningar om personuppgiftsincidenter granskat Region Uppsala, regionstyrelsen och sjukhusstyrelsen. Vi konstaterar att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.
Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.
Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna denna granskning påvisat utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.