Region Uppsala tvingas betala 1,9 miljoner kronor i sanktionsavgifter sedan man skickat känsliga personuppgifter utan kryptering till mottagare i och utanför Sverige.
Det slår Integritetsskyddsmyndigheten fast i ett färskt beslut.
Det rör sig om två olika personuppgiftsincidenter där Region Uppsala inte anses ha vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhetsnivå i förhållande till risken för de aktuelal uppgifterna. I
– Det är frågan om uppgifter om hälsa och därmed känsliga personuppgifter. Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi som lett de två granskningarna, i ett pressmeddelande.
Sanktionsavgifter på 1,9 miljoner
Den första granskningen rör känsliga personuppgifter och personnummer som skickats via mejl. Patientuppgifterna har skickats automatiserat till vårdförvaltningar inom regionen, men det handlar även om mejl med patientuppgifter som skickats manuellt till forskare inom regionen.
Integritetsskyddsmyndigheten konstaterar här att överföringen av mejlen varit krypterad, men att informationen i meddelandena inte varit detta. Därför utfärdas en administrativ sanktionsavgift på 300 000 kronor.
Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickat mejl med patientuppgifter till patienter och remittenter utanför EU samt lagringen av patientuppgifter i sjukhusets mejlserver. För bristerna i detta ärende tvingas regionen betala hela 1,6 miljoner i sanktionsavgift.
– Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver, säger Linda Hamidi.
