Ett universitet i Sverige skickade känsliga personuppgifter okrypterat via mejl till Polisen. En grupp av forskare på universitet hade begärt att få ut förundersökningsprotokoll gällande våldtäkter mot män under ett visst år, vilket Polisen lämnade ut via bud. Därefter begärde forskargruppen kompletterande information och bifogade ett av protokollen, vilket skickades via mejl som var okrypterad och över öppet nät. Polisen kontaktade gruppen och berättade att det var olämpligt att göra på detta sätt. Forskargruppen menade att misstaget berodde på den mänskliga faktorn och beklagade det inträffade.
Forskare på ett universitet skickade känsliga personuppgifter okrypterat via mejl
Forskargruppen skickade material som var känsligt via okrypterad mejl och menade att det var oavsiktligt. Däremot inträffade motsvarande incident igen, då de vid en ny begäran om kompletterande information bifogade samma protokoll på nytt. Det var universitetet och inte forskargruppen som var personuppgiftsansvarig i ärendet, eftersom det var arbetsgivaren. De begick misstaget två gånger och uppfyllde inte de lämpliga säkerhetsåtgärderna som GDPR kräver av personuppgiftsansvariga.
Protokollen innehöll känsliga personuppgifter
Protokollen innehöll bland annat personuppgifter såsom personnummer, misstanke om brott och uppgifter om hälsa och sexualliv m.m. Uppgifter om hälsa är känsliga personuppgifter enligt GDPR och är enligt huvudregeln förbjudna att behandla. Däremot finns det undantag och då är det viktigt att behandla dessa uppgifter med högre säkerhet än vanliga personuppgifter. Till exempel genom att inte skicka sådana känsliga uppgifter via okrypterad mejl. Efter personuppgiftsincidenten inträffade införde universitetet rutiner för bland annat scanning av material som innehåller känsliga uppgifter.
Konsekvens för universitetet för överträdelsen av GDPR
Tillsynsmyndigheten tilldelade universitetet totalt 550 000 kr för överträdelserna mot bestämmelser i GDPR.
