Din varukorg är för närvarande tom!
USB-minne med patientuppgifter försvann i tvätten
Integritetsskyddsmyndigheten (IMY) har utfärdat en sanktionsavgift på 200 000 kronor till Region Skåne efter att ett okrypterat USB-minne med känsliga personuppgifter om nästan 2 000 patienter försvunnit. IMY drog slutsatsen att regionens tekniska och organisatoriska åtgärder var otillräckliga för att garantera en tillräcklig säkerhet. Det förlorade USB-minnet, som inte återfanns, innehöll personnummer och känsliga personuppgifter om hälsa, vilket innebar en hög risk för enskilda personers rättigheter och friheter. Trots att Region Skåne skyllde på medarbetarens oaktsamhet, klargjorde IMY att det är regionens ansvar att göra det lätt för medarbetarna att göra rätt.
Vad har hänt?
En forskare som är anställd av Region Skåne hade begärt och beviljats tillgång till känsliga personuppgifter från ett nationellt kvalitetsregister, SCAAR. Uppgifterna i SCAAR-registret kom från Uppsala kliniska forskningscentrum, Uppsala Clinical Research Centre (UCR), som förvaltar registret. Personuppgiftsincidenten inträffade dock när en anställd förlorade ett okrypterat USB-minne med uppgifterna, som skulle användas i forskningssyfte. Medarbetaren glömde USB-minnet i fickan på sina arbetskläder när dessa skickades för tvätt.
Region Skånes svar
Region Skåne erkänner att incidenten utgör ett brott mot GDPR, men hävdar att organisationen inte har brutit mot sina skyldigheter. Regionen hävdar att orsaken till överträdelsen är oaktsamhet från en enskild anställds sida. Samtidigt har Region Skåne i enlighet med artikel 82.1 i GDPR beslutat att kompensera de registrerade som begärt det.
I beslutet kan man läsa att Region Skåne uppgett till IMY att uppgifterna enligt UCR:s krav borde ha hållits säkra och krypterade för att förhindra obehörig åtkomst. Region Skåne framhåller i sitt yttrande till IMY att forskaren hade gått med på att följa dessa säkerhetsföreskrifter men att USB-minnet i fråga ändå inte var krypterat.
Region Skåne uppger i sitt svar till IMY att man årligen övervakar användningen av lagringsmedier i enlighet med sin informationssäkerhetspolicy. Sedan incidenten har regionen infört 7-zip, ett filkomprimeringsprogram som även kan användas för kryptering. Regionen har också utvecklat ett säkert lagringsutrymme för hantering av känsliga personuppgifter, konfidentiell information eller annan integritetskänslig och värdefull information som ska delas med externa parter. Dessutom uppger regionen att den har genomfört organisatoriska säkerhetsåtgärder, bland annat genom att se över och uppdatera instruktioner för hantering av personuppgifter i forskning.
Svaret från IMY
IMY beslutade att ge Region Skåne en sanktionsavgift på 200 000 kronor. Sanktionsavgiften fastställdes till detta belopp på grund av flera omständigheter.
För det första innehöll det förlorade okrypterade USB-minnet känsliga personuppgifter, inklusive hälsoinformation och personnummer för 1 934 personer. Därmed berördes många människor vilket motiverar en högre sanktionsavgift.
För det andra har USB-stickan inte återfunnits, vilket gör det omöjligt att fastställa i vilken utsträckning personuppgifter har spridits. Detta ser IMY som en försvårande omständighet.
− Det är regionen i egenskap av personuppgiftsansvarig som har det yttersta ansvaret för hur personuppgifterna hanteras i verksamheten. I det ansvaret ingår bland annat att vidta både tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, till exempel att regionen i det här fallet skulle tillhandahållit krypterade usb-minnen. Det ska vara lätt att göra rätt för personalen, säger tillförordnad enhetschef Linn Sandmark som beslutat i ärendet i ett pressmeddelande från IMY.
Läs mer
Sanktionsavgift mot Region Skåne
Beslut efter tillsyn enligt GDPR – Regionstyrelsen i Region Skåne (imy.se)