Regionsstyrelsen i Region Uppsala skickade känsliga personuppgifter via e-post samt personnummer, där informationen inte var krypterad. Däremot var överföringen av e-posten krypterad. Konsekvensen av personuppgiftsincidenten blev en sanktionsavgift. Regionsstyrelsen i Region Uppsala saknade bland annat lämpliga tekniska och organisatoriska åtgärder för att motverka det som inträffade.
Skickade känsliga personuppgifter via okrypterad e-post
Granskningen av Regionsstyrelsen i Region Uppsala som tillsynsmyndigheten utförde avsåg två kategorier av behandlingar av personuppgifter.
Den första behandlingen avsåg e-postmeddelanden som skickades till vårdförvaltningar och innehöll patientuppgifter. Detta skedde per automatik varje månad och syftet var bland annat för kvalitetssäkring. Exempelvis för att åtgärda problem i administrationen. De excelfilerna som blev skickade kunde innehålla uppgifter från patientjournalen och dessutom innehöll de personnummer, information om vårdande enhet och i vissa fall information om väntetider. När regionstyrelsen anmälde personuppgiftsincidenten, stoppade de även behandlingen.
Den andra behandlingen avsåg patientuppgifter som blev skickade till forskade och läkare manuellt. Det var bland annat för kvalitetsuppföljning samt forskningssyfte. De skickade ungefär 200-250 e-postmeddelanden per år men slutade efter att personuppgiftsincidenten blivit anmäld till tillsynsmyndigheten.
Uppgifter om hälsa utgör känsliga personuppgifter enligt GDPR och måste därför bli behandlade med större säkerhet. Enligt huvudregeln är det förbjudet att behandla känsliga personuppgifter, men det finns undantag. Däremot är det viktigt för företag att behandla de med större säkerhet genom att till exempel implementera lämpliga tekniska och organisatoriska åtgärder. Undantagen framgår i artikel 9.2 i GDPR (dataskyddsförordningen)
Saknade tekniska och organisatoriska åtgärder
Behandlingen skedde i strid mot de riktlinjer som Region Uppsala hade. Därför hade de inte vidtagit de åtgärder, både tekniska och organisatoriska som var lämpliga för att se till att säkerhetsnivån var tillräcklig i förhållande till risken som behandlingen medförde. Till exempel kunde obehöriga ta del av informationen eftersom det saknades skyddsåtgärder för att förhindra det. Dessutom saknade de tekniska skyddsåtgärder för att förhindra att någon ändrar information i filerna som blev skickade.
Sanktionsavgift för överträdelsen
Tillsynsmyndigheten i Sverige (Integritetsskyddsmyndigheten) tilldelade Regionsstyrelsen i Region Uppsala en sanktionsavgift på 300 000 kr (ungefär 30 000 euro) för överträdelsen av GDPR. Enligt bedömningen och de själva är det regionstyrelsen som är personuppgiftsansvarig och har behandlat känsliga personuppgifter medvetet. Däremot vidtog de aldrig lämpliga åtgärder för att skydda dessa uppgifter, även fast de kände till riskerna. Sjukhusstyrelsen i Region Uppsala fick istället en sanktionsavgift på 1,6 miljoner kr (ungefär 160 000 euro).
