Umeå universitet har hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att skydda uppgifterna tillräckligt. Datainspektionen ger därför universitetet en sanktionsavgift på 550 000 kronor.
Datainspektionen har nu avslutat en granskning av Umeå universitet och konstaterar att universitetet brutit mot dataskyddsförordningen när det hanterat känsliga personuppgifter utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.
Känsliga uppgifter lagrats i amerikansk molntjänst
En forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.
Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till en amerikansk molntjänst, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten.
– Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Datainspektionens granskning.
Skickat känsligt material från oskyddad e-post
När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över oskyddad e-post.
– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Sanktionsavgiften
Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident.
– Den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.
Sammantaget gör de konstaterade bristerna att Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.
