När en privatperson i november förra året begärde att få ut ett registerutdrag upptäckte tjänstemän i Region Uppsala av en slump att över en halv miljon patientuppgifter låg okrypterade, som bifogade filer i mejlprogrammet Outlook, enligt Sveriges Radio P4 Uppland som var först med att rapportera om det inträffade. Det handlade om uppgifter som namn, personnummer, adresser, men också om information om hälsa, såsom diagnoser och planerade åtgärder. Regionens dataskyddsombud anmälde upptäckten till Integritetsskyddsmyndigheten, Imy, och i nästa vecka väntar nu en inspektion av sjukhusstyrelsen i Region Uppsala.
– Personuppgifter om patienter är särskilt skyddsvärda och kräver därför att de hanteras i tekniska system som har hög säkerhet. Nu inleder vi en granskning för att ta reda på vilka tekniska och organisatoriska säkerhetsåtgärder som regionen har för att skydda personuppgifter om patienter när e-post används, säger Katarina Bengtsson, IT- och informationssäkerhetsspecialist på Imy, i ett pressmeddelande.
Anneli Kjellberg, digitaliseringsdirektör på Region Uppsala, säger i en kommentar att regionen ser mycket allvarligt på att personuppgifter har hanterats på ett felaktigt sätt och att man välkomnar Imys granskning.
– Vi känner inte till att några känsliga personuppgifter har hamnat i orätta händer, men oavsett det ska ingen patient behöva oroa sig för att obehöriga kan ha tagit del av personlig information.
Sedan anmälan till Imy gjorts har Region Uppsala bland annat arbetat med att öka kunskapen om vilka regler som gäller kring hantering av post och e-post. Ett arbete pågår för att införa nya metoder och ett nytt stöd för att skicka säkra meddelanden.
Det är inte första gången som Region Uppsalas hantering av känslig patientinformation per e-post får kritik. I januari förra året straffades regionen med en sanktionsavgift på 1,9 miljoner kronor för okrypterade mejl.
Läs också:
Uppsala får böta för okrypterade mejl
(uppdaterad 2023-03-06)