IMY utfärdar administrativa sanktionsavgifter på sammanlagt 1,9 miljoner kronor mot Region Uppsala efter att ha funnit att regionen inte har vidtagit lämpliga säkerhetsåtgärder vid sin hantering av känsliga personuppgifter.
Integritetsskyddsmyndigheten (IMY) har tagit emot två rapporter om personuppgiftsincidenter från Region Uppsala. Incidenterna omfattar känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige.
IMY har med anledning av incidentrapporterna inlett en granskning av regionen (regionstyrelsen och sjukhusstyrelsen) och konstaterar i sina två beslut att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.
Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.
Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna i denna granskning utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.
Läs beslutet mot regionstyrelsen i Region Uppsala
