Miljonböter till Region Uppsala för okrypterade mejl och bristande it-säkerhet

2022-01-28 13:47  
Akademiska sjukhuset i Uppsala har brustit i sin e-posthantering, visar en färsk utredning från Integritetsmyndigheten. Arkivbild. Foto: Fredrik Sandberg / TT

Region Uppsala har brustit i hanteringen av känsliga persondata som hälsouppgifter och personnummer, slår Integritetsmyndigheten fast. Nu väntar sanktionsavgifter på nästan två miljoner kronor.

Efter att ha tagit emot två rapporter om personuppgiftsincidenter började Integritetsmyndigheten, IMY, att utreda hur Region Uppsala hanterar känsliga personuppgifter. Incidenterna berör fall där känsliga data har skickats till mottagare både i Sverige och utomlands.

"I strid med egna riktlinjerna"

Nu är IMY:s granskning klar – och den innehåller svidande kritik mot regionen. Enligt myndigheten har Region Uppsala inte gjort tillräckligt för att säkerställa en säkerhetsnivå som är tillräckligt hög i förhållande till hur känsliga uppgifterna som behandlas är.  

Följden av utredningen blir att IMY utfärdar böter på sammanlagt 1,9 miljoner kronor till Region Uppsala. 

– Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi från IMY i ett pressmeddelande.

Okrypterade uppgifter i mejl

Utredningen har bestått av två granskningar. I den ena har IMY tittat på hur personnummer och andra personuppgifter har skickats via e-post till vårdförvaltningar samt forskare och läkare i regionen. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena, konstaterar myndigheten.

Läs mer: Kravet: Bahnhof måste lämna ut uppgifter – annars väntar miljonböter

Granskning nummer två berör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i länder utanför EU. IMY har också tittat på hur patientuppgifter lagras på sjukhusets e-postserver. Även där uppvisar regionen stora brister.

Läs mer: Att använda Google Analytics kan bryta mot GDPR

–  Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver, säger IMY:s Linda Hamidi. 

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt