Region Uppsala har rapporterat in två så kallade personuppgiftsincidenter till Datainspektionen, som är tillsynsmyndighet för dataskyddsförordningen, GDPR och patientdatalagen. På tisdagen uppgav myndigheten att man inlett en granskning av Region Uppsala, vilket tidningen Dagens Medicin var först att rapportera om.
De känsliga personuppgifter som Akademiska sjukhuset skickat både inom Sverige och utomlands har varit okrypterade. Upp till 10 000 personer kan ha berörts, enligt uppgifter från Region Uppsala som Dagens Nyheter tagit del av.
Alli Abdulla, jurist på Datainspektionen, deltar i granskningen som ska reda ut varför personuppgifterna var okrypterade. Ett antal frågor har skickats till Region Uppsala och senast 24 september vill man ha svar.
– Sedan kan det bli så att vi begär in ytterligare uppgifter innan vi kan fatta ett beslut i frågan, säger Alli Abdulla.
Om Datainspektionen kommer fram till att Region Uppsala har behandlat personuppgifter i strid med GDPR kan en varning, eller en sanktionsavgift, utfärdas.
– I och med GDPR finns det en bred verktygslåda, men det är för tidigt att uttala sig vilka konsekvenser det blir. Vi får se vad granskningen landar i, säger Alli Abdulla.
Region Uppsala har själva rapporterat incidenterna till Datainspektionen. Regionens chefsjurist Anne Nilsson säger till DN att de vid tillfället inte hade någon funktion för att kryptera mejlen. Nu har tillfälliga krypteringslösningar införts.
– Akademiska sjukhuset utför högspecialiserad vård av personer som inte är folkbokförda i Sverige, säger Anne Nilsson och uppger att journalerna skickats över öppna nät till patienternas hemländer.
– Det finns regler om att man inte ska göra det, men vi hade vid tillfället ingen funktion för att kryptera mejlen. Men detta har vi nu infört, säger Anne Nilsson till Dagens Nyheter.
Enligt DN, som har tagit del av Region Uppsalas anmälan av personuppgiftsincidenterna till Datainspektionen, handlar det om uppskattningsvis 10 000–100 000 uppgifter för 1 000–10 000 personer.
Den andra anmälda incidenten handlar om att Region Uppsalas olika förvaltningar för en rad olika ändamål tagit ut stora datamängder som innehåller patientuppgifter. Informationen har sedan skickats som excelfiler i okrypterade mejl. Skyddsåtgärder för att förhindra läsning och ändring av informationen samt skyddsåtgärder för att förhindra att obehöriga tar del av den har saknats.