Umeå universitet bötfälls med 550 000 kr för personuppgiftsincident

Författare:

|

Datum:

|

Efter en granskning av Umeå Universitet kan Datainspektionen konstatera att universitetet brutit mot dataskyddsförordningen. Det rör sig om att universitetet inte vidtagit tillräckliga tekniska och organisatoriska åtgärder vid hantering av känsliga personuppgifter.

Känsliga uppgifter på molntjänst

Granskningen visar att en forskargrupp vid universitetet lagrat känslig information på en amerikansk molntjänst. Det handlar om hundratals inskannade förundersökningsprotokoll som gruppen begärt ut från polisen. Molntjänsten användes trots att universitetet informerar på sitt intranät om att känsliga uppgifter ej bör lagras i den aktuella molntjänsten. Datainspektionens granskning visar även att forskargruppens mailkorrespondens med polisen skett på ett oaktsamt sätt då gruppen bifogat de inskannade dokumenten med känslig information i korrespondensen. Trots att polisen påpekat att det är ett olämpligt sätt att skicka känsligt material på upprepades händelsen igen.

Incidenten inte anmäld till Datainspektionen

Något som Datainspektionen även riktar kritik mot är att universitet inte anmält incidenten till Datainspektionen vilket det sedan 25 maj 2018 finns en skyldighet för organisationer att göra. Datainspektionen skriver på sin hemsida att ”den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.”

Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot Umeå universitet.

Läs mer här.