Integritetsskyddsmyndigheten utfärdar en sanktionsavgift mot Region Skåne om 200 000 kronor eftersom regionen tappat bort ett okrypterat usb-minne med känsliga personuppgifter om patienter.
Integritetsskyddsmyndigheten, IMY, inledde tillsyn mot Region Skåne efter att ha tagit emot en inrapporterad personuppgiftsincident och klagomål från registrerade. Av incidentanmälan framgår att en medarbetare tappat bort ett okrypterat usb-minne som innehåller personnummer och känsliga personuppgifter om närmare 2 000 personer. Under granskningen har framkommit att usb-minnet inte har återfunnits.
Inte tillräckliga
IMY:s slutsats är att de tekniska och organisatoriska åtgärder som regionen vidtagit inte var tillräckliga för att försäkra sig om en lämplig säkerhetsnivå i förhållande till risken med behandlingen. Detta eftersom regionen har lagrat känsliga personuppgifter på ett okrypterat usb-minne som sedan tappats bort. Innehållet på usb-minnet kopplar ihop uppgifter om hälsa med ett stort antal patienter genom deras personnummer, vilket innebär en hög risk för de registrerades fri- och rättigheter.
IMY konstaterar i sitt beslut att överträdelsen rör ett stort antal registrerade vars personuppgifter skyddas av sekretess. Det är dessutom en försvårande omständighet att usb-minnet inte återfunnits och att det är oklart vilken spridning personuppgifterna kan ha fått. IMY bestämmer utifrån en samlad bedömning att regionen ska betala en administrativ sanktionsavgift på 200 000 kronor. (Blendow Lexnova)
Gratis nyhetsbrev om rättsfall , juridik och näringsliv från Dagens Juridik – klicka här
