Region Uppsala får betala 1,9 miljoner i sanktionsavgift

Integritetsskyddsmyndigheten, IMY, utfärdar administrativa sanktionsavgifter på sammanlagt 1,9 miljoner kronor mot Region Uppsala efter att ha funnit brister i regionens säkerhetsåtgärder vid sin hantering av känsliga personuppgifter.

Integritetsskyddsmyndigheten (IMY) har tagit emot två rapporter om personuppgiftsincidenter från Region Uppsala. Incidenterna omfattar känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige.

IMY har med anledning av incidentrapporterna inlett en granskning av regionstyrelsen och sjukhusstyrelsen i Uppsala och konstaterar i sina två beslut att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.

Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen.

Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen.

Sammantaget visar de två granskningarna att regionen inte har vidtagit de åtgärder som krävs för att skydda känsliga personuppgifter i de e-postmeddelanden som skickats samt vid lagringen av uppgifterna i sjukhusets e-postserver.