Bakgrunden till granskningen av Region Uppsala är att Imy tagit emot två rapporter om så kallade personuppgiftsincidenter från regionen. Incidenterna handlar om känsliga personuppgifter som skickats utan kryptering till mottagare i och utanför Sverige.

– Det är frågan om uppgifter om hälsa och därmed känsliga personuppgifter. Våra granskningar visar att tillräckliga tekniska åtgärder inte har vidtagits för att skydda uppgifterna mot exempelvis obehörig åtkomst. De visar också att behandlingen av personuppgifter i båda fallen skett i strid med regionens egna riktlinjer, vilket även indikerar brister i de organisatoriska åtgärderna, säger Linda Hamidi, jurist vid Imy, i ett pressmeddelande.

Den ena granskningen handlar dels om mejl med patientuppgifter som skickats automatiserat till vårdförvaltningar inom regionen, dels om mejl med patientuppgifter som skickats manuellt till forskare och läkare i regionen.

Enligt Imy har själva överföringen av mejlen varit krypterad, men inte informationen i mejlen.

Den andra granskningen där Imy funnit brister gäller hur Akademiska sjukhuset skickar e-post med patientuppgifter till både patienter och remittenter i tredjeland, det vill säga länder utanför EU. Imy slår också ner på säkerheten när det gäller lagringen av patientuppgifter i sjukhusets e-postserver.

Sammantaget anser Imy att regionen inte har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de personuppgifter som behandlas.

Mot den bakgrunden har Imy beslutat att utfärda en sanktionsavgift på sammanlagt 1,9 miljoner kronor mot Region Uppsala. Beslutet kan överklagas till förvaltningsrätten.