Digitalisering

Miljonböter till Region Uppsala för okrypterade mejl och bristande it-säkerhet

Akademiska sjukhuset i Uppsala har brustit i sin e-posthantering, visar en färsk utredning från Integritetsmyndigheten. Arkivbild. Foto: Fredrik Sandberg / TT
Akademiska sjukhuset i Uppsala har brustit i sin e-posthantering, visar en färsk utredning från Integritetsmyndigheten. Arkivbild. Foto: Fredrik Sandberg / TT

Region Uppsala har brustit i hanteringen av känsliga persondata som hälsouppgifter och personnummer, slår Integritetsmyndigheten fast. Nu väntar sanktionsavgifter på nästan två miljoner kronor.

Publicerad

Efter att ha tagit emot två rapporter om personuppgiftsincidenter började Integritetsmyndigheten, IMY, att utreda hur Region Uppsala hanterar känsliga personuppgifter. Incidenterna berör fall där känsliga data har skickats till mottagare både i Sverige och utomlands.

"I strid med egna riktlinjerna"

Nu är IMY:s granskning klar – och den innehåller svidande kritik mot regionen. Enligt myndigheten har Region Uppsala inte gjort tillräckligt för att säkerställa en säkerhetsnivå som är tillräckligt hög i förhållande till hur känsliga uppgifterna som behandlas är.  

Följden av utredningen blir att IMY utfärdar böter på sammanlagt 1,9 miljoner kronor till Region Uppsala. 

– Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi från IMY i ett pressmeddelande.

Okrypterade uppgifter i mejl

Utredningen har bestått av två granskningar. I den ena har IMY tittat på hur personnummer och andra personuppgifter har skickats via e-post till vårdförvaltningar samt forskare och läkare i regionen. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena, konstaterar myndigheten.

Granskning nummer två berör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i länder utanför EU. IMY har också tittat på hur patientuppgifter lagras på sjukhusets e-postserver. Även där uppvisar regionen stora brister.

–  Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver, säger IMY:s Linda Hamidi.