Region Uppsala straffas för brister i skyddandet av känsliga personuppgifter. Foto: TT/SVT

Region Uppsala får miljonböter efter slarv med känslig e-post

Publicerad

Region Uppsala ska betala närmare två miljoner kronor till Integritetsskyddsmyndigheten, IMY, efter slarv med känslig information via e-post.

– Det är fråga om uppgifter om hälsa och därmed känsliga personuppgifter, säger Linda Hamidi, jurist på IMY.

Bland annat har regionen skickat information om patienter till mottagare utomlands utan tillräcklig kryptering – och därmed riskerat att någon obehörig kunnat komma åt den. Sammanlagt ska Region Uppsala betala 1,9 miljoner i sanktionsavgift.

– I det ena fallet har journaluppgifter skickats till mottagare utomlands. I det andra har personuppgifter från journalsystemet förts över på excel-filer som skickats till andra mottagare inom Region Uppsala, säger Linda Hamidi.

Felen har i det ena fallet begåtts inom regionstyrelsen och i det andra fallet inom sjukhusstyrelsen. IMY kan dock inte säga om någon obehörig faktiskt kommit åt informationen.

Upp till 10 000 berörda

Det var när sjukhuset utförde högspecialiserad vård av personer som inte var folkbokförda i Sverige som journalerna, under åren 2018-2019, skickades på ett osäkert sätt.

Akademiska sjukhuset har varje år patienter från drygt 45 länder inom EU/ESS och utanför. I anmälan uppskattas det att man har skickat omkring 10 000 till 100 000 uppgifter som berör mellan 1 000 och 10 000 patienter.

”Ska inte vara möjligt”

Regionen menar att man nu sett över sina rutiner.

– Patienterna ska kunna lita på att inte obehöriga kan ta del av personuppgifter. Vi tror inte att det har skett i dessa fall men det ska inte ens vara hypotetiskt möjligt. Vi kommer att fortsätta att följa upp så att alla regler följs och anmäla alla incidenter till Integritetsskyddsmyndigheten, säger Emilie Orring (M), ordförande för regionstyrelsen.

Fotnot: När granskningen inleddes hette Integritetsskyddmyndigheten Datainspektionen.

IMY:s granskning

• Den ena granskningen rör känsliga personuppgifter och personnummer som skickats via e-post. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena. Det rör dels mejl med patientuppgifter som skickats automatiserat till berörda vårdförvaltningar inom regionen, dels mejl med patientuppgifter som skickats manuellt till forskare och läkare inom regionen. För de konstaterade bristerna i denna granskning utfärdar IMY en administrativ sanktionsavgift på 300 000 kronor mot regionstyrelsen i Region Uppsala.

• Den andra granskningen rör hur Akademiska sjukhuset i Uppsala skickar e-post med patientuppgifter till patienter och remittenter i tredjeland, alltså länder utanför EU. IMY:s granskning omfattar även lagringen av patientuppgifter i sjukhusets e-postserver. Myndigheten har granskat säkerheten för de personuppgifter som behandlats men har inte granskat lagligheten i själva tredjelandsöverföringen. För de konstaterade bristerna i denna granskning utfärdar IMY en sanktionsavgift på 1,6 miljoner kronor mot sjukhusstyrelsen i Region Uppsala.

Källa: Integritetsskyddsmyndigheten

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.