Rapport från IMY om dataskyddsombudens upplevelse av dataskyddsarbetet i praktiken

Integritetsskyddsmyndigheten (”IMY”) har publicerat rapporten ”Dataskyddsarbetet i praktiken” som syftar till att undersöka vilka förutsättningar som finns för arbetet med dataskyddsfrågor i verksamheter som är skyldiga att ha dataskyddsombud. Rapporten bygger på en enkät som dataskyddsombud från närmare 800 verksamheter har svarat på. Undersökningen visar att mindre än hälften av de dataskyddsombud som deltagit i undersökningen upplever att deras organisationer arbetar kontinuerligt och systematiskt med dataskyddsfrågor. Vidare anser endast hälften av dataskyddsombuden att de får gehör för dataskyddsfrågor från ledningen.

IMY utfärdar sanktionsavgift avseende Region Dalarnas rutiner vid kallelser till vårdbesök

IMY har fattat beslut om att utfärda en administrativ sanktionsavgift mot Region Dalarna på grund av regionens rutiner vid brevutskick av kallelser till vårdbesök. IMY inledde tillsyn mot regionen med anledning av klagomål om att regionen skickar ut kallelser till patientbesök via fysiska brev där vårdinrättningen som besöket avser är fullt synlig i brevets fönsterkuvert. I sitt beslut konstaterade IMY att ungefär 2 500 kallelser per år omfattades av överträdelsen, vilket inneburit att känsliga personuppgifter obehörigen har röjts för ett okänt antal personer. IMY ansåg därmed att regionen inte har vidtagit tillräckliga säkerhetsåtgärder för att skydda dessa känsliga personuppgifter mot obehörigt röjande i enlighet med dataskyddsförordningens artikel 32.1. Region Dalarnas överträdelse resulterade i en administrativ sanktionsavgift på 200 000 kr.

IMY meddelar beslut i flera tillsynsärenden gällande osäker e-posthantering

I tre separata tillsynsärenden har IMY utrett incidenter relaterade till verksamhetsutövares hantering av e-post. I samtliga beslut konstaterade IMY att de berörda verksamhetsutövarna inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig säkerhetsnivå för personuppgifter.

I ett av tillsynsärendena riktar IMY kritik mot Polismyndigheten efter att en granskning visat att e-postmeddelanden innehållande integritetskänsliga personuppgifter om bland annat misstänkta personer och brottsoffer har skickats till obehöriga personer av misstag. Anställda vid Polismyndigheten har misstagsvis stavat fel på ”@polisen.se” när mottagaradressen angivits, vilket har medfört att e-postmeddelanden har skickats till en utomstående person som registrerat domännamn med snarlika stavningar. IMY anser därför att Polismyndigheten inte har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter i enlighet med 3 kap. 2 och 8 §§ brottsdatalagen (2018:1177).

Vidare har IMY i två separata beslut utfärdat en reprimand till försäkringsbolaget If Skadeförsäkring AB (”If”) och sanktionsavgifter mot Region Uppsala. Tillsynen avsåg i båda fallen hantering och kryptering av e-post innehållande känsliga personuppgifter. If hade vid ett tillfälle inte säkerställt att ett meddelande varit krypterat under hela dess transport till mottagaren, vilket inneburit en risk för att obehöriga kunde ha tagit del av e-postmeddelandet i klartext. Region Uppsala hade vid utskick av e-post till mottagare i och utanför Sverige inte säkerställt att meddelandeinnehållet var krypterat. IMY konstaterade således att varken If eller Region Uppsala har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter enligt artikel 32 i dataskyddsförordningen.