En patient som sökt en privat specialistmottagning, anmälde i fjol att hens uppgifter låg öppna på företagets sajt. Patienten hade fått rådgivning digitalt, och genom att googla sitt personnummer hade hen inte bara hittat namn och personnummer, utan också den skrivna konsultationen med vårdgivaren.
Integritetsskyddsmyndigheten inledde ett tillsynsärende och har nu fattat beslut. IMY kommer fram till att företaget åtminstone under flera månader 2021 »publikt och i klartext exponerat personuppgifter« som samlats in via företagets webbplats, vilket möjliggjort för en sökmotor att indexera uppgifterna och därmed göra dem sökbara för vem som helst.
Efter att ha fått bakläxa ett par gånger, gjorde företaget om sin webbsida och tog bort de exponerade uppgifterna. IMY fortsatte sin tillsyn och fann fortfarande brister.
Myndigheten konstaterar att företaget i åtminstone flera månader under 2022 inte skyddat uppgifter som överförts genom exempelvis kryptering, när vårdsökandes uppgifter samlats in via webbformulär. Det betyder att även om uppgifterna inte lagrades på samma exponerade sätt, var överföringen av data inte tillräckligt säker.
Sedan oktober i år är datahanteringen på företagets webbplats dock tillräcklig, uppger IMY i sitt beslut.
Sammantaget anser IMY att företaget brutit mot dataskyddsförordningen genom att inte vidta lämpliga åtgärder för att skydda informationen. Därför har IMY beslutat att företaget ska betala 20 000 kronor i en administrativ sanktionsavgift för överträdelserna. Beslutet kan överklagas.
Läkartidningen har sökt ansvarig för mottagningen, som dock avböjt kommentar.