I det första fallet har Akademiska sjukhuset vid tre tillfällen skickat uppgifter om utlandspatienter via mejl. Att göra det bryter mot dataskyddsförordningens regler kring hur personuppgifter ska behandlas (GDPR). Det påpekar Integritetsskyddsmyndigheten, som beslutat att sjukhusstyrelsen i Region Uppsala därför ska betala 1,6 miljoner i sanktionsavgift.
– Patienterna ska kunna lita på att inte obehöriga kan ta del av personuppgifter. Vi tror inte att det har skett i dessa fall, men det ska inte ens vara hypotetiskt möjligt. Vi kommer att fortsätta att följa upp så att alla regler följs och anmäla alla incidenter till Integritetsskyddsmyndigheten, säger Emilie Orring (M), ordförande för regionstyrelsen, i ett pressmeddelande.
Enligt det andra beslutet ska regionstyrelsen ska betala 300 000 kronor i sanktionsavgifter för två incidenter, där filer med känsliga patientuppgifter inte skickats med krypterad mejl på ett korrekt sätt. Själva överföringen av e-posten var krypterad men inte informationen i e-postmeddelandena.
Det var Region Uppsala som anmälde sig själva till Integritetsskyddsmyndigheten 2019, eftersom man inte följt dataskyddsförordningen.
– Vi är alltid måna om att göra rätt, det är därför vi har uppföljning och själva anmäler om vi upptäcker några som helst tveksamheter, säger Emilie Orring.
Beslutet kan överklagas men Region Uppsala har ännu inte tagit ställning till om man kommer att göra det.