Mellan mitten av 2018 och slutet av 2022 har sjukhusstyrelsen i Region Uppsala, som ansvarar för Akademiska sjukhuset, Lasarettet i Enköping och avtalsreglerad specialistvård, behandlat personuppgifter i strid med dataskyddsordningen. Det har Imy kommit fram till, och myndigheten noterar att det har skett genom att patienters uppgifter lagrats i regionens e-postsystem.
Det hela uppdagades vid en patients begäran om registerutdrag i november 2022. Medarbetare inom sjukhusstyrelsens område hade mejlat patientuppgifter till varandra, till exempel namn, personnummer, antal sjukhusbesök och antal vårddagar.
När Sjukhusstyrelsen upptäckte detta inleddes en utredning som fann ytterligare okrypterad mejlväxling mellan åren 2010 och 2022. Man hittade 15 mejl med patientuppgifter samt återkommande automatiska utskick för personnummersammanslagningar. Mejlen har gått mellan personal på sjukhusen och inte mellan personal och patienter. Region Uppsala har i sin utredning kommit fram till att det rör sig om enskilda individer som av okunskap eller misstag har skickat känsliga uppgifter.
Imy bedömer att Region Uppsala inte har vidtagit tillräckliga åtgärder för att motverka otillåten behandling av personuppgifter. Enligt dataskyddsförordningen kan Imy påföra en sanktionsavgift för överträdelser av förordningen, men myndigheten bedömer att det inte är rimligt i det här fallet, utan nöjer sig med en reprimand. Också ett sådant beslut kan dock överklagas av regionen.
I början på 2022 fick regionen sanktionsavgifter på totalt 1,9 miljoner kronor för liknande överträdelser. Även då hade patientuppgifter skickats, både manuellt och automatiskt, till forskare och läkare. Imy kom då även fram till att Akademiska sjukhuset skickat e-post med patientuppgifter till patienter och remittenter i tredje land.
Läs även:
Patientuppgifter låg okrypterat i mejl – nu väntar Imy-inspektion i Uppsala
Uppsala får böta för okrypterade mejl
