Umeå universitet har hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att skydda uppgifterna tillräckligt. Datainspektionen ger därför universitetet en sanktionsavgift på 550 000 kronor.
Datainspektionen har nu avslutat en granskning av Umeå universitet och konstaterar att universitetet brutit mot dataskyddsförordningen när det hanterat känsliga personuppgifter utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.
Sanktionssystemet för hälso‑ och sjukvårdspersonal – en översikt
Parallellt med att antalet tillsynsärenden mot legitimerad hälso- och sjukvårdspersonal ligger på en hög nivå och anmälningar om behörighetsinskränkningar ökar, föreslås att Inspektionen för vård och omsorg, IVO, ska kunna fatta interimistiska beslut – i vissa fall med sänkta beviskrav. Vilka regler gäller nu, och har IVO förutsättningar för att hantera utökade befogenheter på ett rättssäkert sätt? Ebba Sverne Arvill och Leila Nedaei redogör för dagens sanktionssystem, och några aktuella frågor.
Känsliga uppgifter lagrats i amerikansk molntjänst
En forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.
Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till en amerikansk molntjänst, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten.
– Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Datainspektionens granskning.
Skickat känsligt material från oskyddad e-post
När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över oskyddad e-post.
– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Sanktionsavgiften
Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident.
– Den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.
Sammantaget gör de konstaterade bristerna att Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.
