Det handlar om en anmälan mot rättspsykiatriska kliniken i Örebro, som gjorts till Justitieombudsmannen (JO), och som hälso- och sjukvårdsnämnden skulle ta ställning till. Ärendet skulle behandlas på ett nämndsmöte i september förra året, och inför det lades möteshandlingarna ut på regionens webbplats i vanlig ordning.
Men där fanns även uppgifter om anmälaren, en patient som vårdades inom rättspsykiatrin. Hälso- och sjukvårdsnämnden publicerade exempelvis personnummer, kontaktuppgifter, information om var patienten var inlagd på den rättspsykiatriska kliniken och att urinprov tagits.
Datainspektionen fick ett klagomål om hälso- och sjukvårdsnämndens agerande. Och i januari i år inledde myndigheten en tillsyn om nämndens hantering av personuppgifter och publicering på webben.
Regionen uppger att »den publicerade handlingen genast togs bort från den öppna webbplatsen« efter att Datainspektionen uppmärksammat hälso- och sjukvårdsnämnden om situationen. Därefter gjordes en incidentsanmälan till myndigheten och en intern avvikelseanmälan upprättades.
Datainspektionen konstaterar att hälso- och sjukvårdsnämnden saknar skriftliga rutiner om publicering av handlingar och personuppgifter på webbplatsen. Det är ett fåtal personer som håller på med den typen av arbete, och de rutiner som finns delges muntligt. I detta fall hade dock inte de muntliga rutinerna följts och handlingen hade publicerats av misstag.
Enligt Datainspektionen har Region Örebro län brutit mot dataskyddsförordningen och dataskyddslagen. I sitt beslut skriver myndigheten att de »bedömer att det inte är fråga om en mindre överträdelse«.
Datainspektionen förelägger hälso- och sjukvårdsnämnden att åtgärda bristerna i rutinerna. Myndigheten utfärdar också en sanktionsavgift på 120 000 kronor.
Beslutet finns på Datainspektionens webbplats.
