Sjukhuspersonal mejlade patientuppgifter i Outlook
Integritetsskyddsmyndigheten (IMY) kritiserar att vårdpersonal på två sjukhus har använt en osäker e-posttjänst för att skicka okrypterade patientuppgifter. Sjukhusstyrelsen har därmed i egenskap av personuppgiftsansvarig behandlat personuppgifter i strid med dataskyddsförordningen och får en reprimand från IMY.
Bakgrund
Integritetsskyddsmyndigheten (IMY) fick in en anmälan om en personuppgiftsincident där personuppgifter om patienter som personnummer och hälsouppgifter under flera år hade skickats okrypterat av sjukhuspersonal i e-posttjänsten Microsoft Outlook. Enligt anmälan hade incidenten berott på bristande organisatoriska rutiner eller processer. IMY inledde tillsyn.
Gällande rätt
Sjukhusstyrelsen i regionen är personuppgiftsansvarig enligt 2 kap. 6 § patientdatalagen (2008:355), PDL, eftersom den behandlar personuppgifter om patienter enligt ändamålen i 2 kap. 4 § PDL, såsom att dokumentera uppgifter i patientjournal.
Uppgifter om hälsa utgör så kallade känsliga personuppgifter. Det är förbjudet att behandla sådana personuppgifter enligt artikel 9.1 i förordning (EU) 2016/679 (dataskyddsförordningen), såvida behandlingen inte omfattas av något av undantagen i artikel 9.2 i förordningen. Av artikel 32.1 i dataskyddsförordningen framgår det att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen.
På regionövergripande nivå finns bland annat riktlinjer och beslut som anger att känsliga uppgifter inte ska hanteras via e-post. De två sjukhusen har var för sig regler för hantering av e-post där det framgår att känsliga uppgifter, såsom sekretessbelagda uppgifter och känsliga personuppgifter, inte får förekomma i e-post såvida filerna inte krypteras.
Integritetsskyddsmyndigheten
Sjukhusstyrelsen hade vidtagit ett antal åtgärder för att förhindra otillåten behandling av personuppgifter i e-posttjänsten. Eftersom det framkommit att känsliga och särskilt skyddsvärda personuppgifter har behandlats i e-posttjänsten på ett otillåtet sätt står det dock klart att medarbetare inte har följt de riktlinjer som funnits. Flera av de e-postmeddelanden som omfattades av incidenten har dessutom lagrats i e-posttjänsten under lång tid, vilket talar för att sjukhusstyrelsen inte haft ett effektivt förfarande för att kunna följa upp och utvärdera effektiviteten av de åtgärder som vidtagits.
Sjukhusstyrelsen bedriver vårdverksamhet vilket innebär att känsliga och särskilt skyddsvärda personuppgifter behandlas inom verksamheten i stor omfattning. IMY har i tidigare tillsyn bedömt att e-postsystem generellt sett är en olämplig lagringsplats för känsliga personuppgifter.
Slutsats
IMY konstaterar sammantaget att sjukhusstyrelsen i egenskap av personuppgiftsansvarig har behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen av patienters personuppgifter i verksamhetens e-posttjänst.
Vid en sammantagen bedömning av omständigheterna i ärendet bedömer IMY dock att det inte är proportionerligt att besluta om sanktionsavgift för den överträdelse som konstaterats inom ramen för denna tillsyn. Sjukhusstyrelsen ska därför, istället för sanktionsavgift, ges en reprimand enligt 58.1 b i dataskyddsförordningen.
Referat av Integritetsskyddsmyndigheten 2025-04-24 dnr IMY-2023-2522.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 17 jun 2025
Jurist, redaktör
