Usb-minne med patientdata försvann i tvätten – region får böter

IMY begär att Region Skåne ska betala 200 000 kronor i sanktionsavgift för ett borttappat usb-minne. På det fanns okrypterade känsliga personuppgifter och personnummer om nästan 2 000 personer. Datan kom från ett register om kranskärlssjukdomar.

Stickan försvann när en medarbetare lämnade in sina kliniska kläder för tvätt, utan att komma ihåg att tömma fickan.

Usb-minnet är fortfarande försvunnet och det i sig är en försvårande omständighet, anser IMY. Det gör också att det är oklart om och i så fall i vilken utsträckning som personuppgifterna har läckt ut till obehöriga.

IMY:s bedömning är att Region Skåne inte har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och därmed brutit mot dataskyddsförordningen.

Att dels förvara uppgifter på ett flyttbart media, som usb, innebär betydande risker för oavsiktlig spridning. Och om man ändå väljer att spara personuppgifter så bör informationen vara krypterad, konstaterar IMY som kallar händelsen allvarlig. Ansvaret att skydda personuppgifterna är regionens:

− I det ansvaret ingår bland annat att vidta både tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, till exempel att regionen i det här fallet skulle tillhandahållit krypterade usb-minnen. Det ska vara lätt att göra rätt för personalen, säger tf. enhetschef Linn Sandmark som beslutat i ärendet.

Efter händelsen har Region Skåne bland annat infört ett nytt krypteringssystem och nya rutiner för upphittade föremål på tvätteriet och i kundcenter. Regionen har också beslutat att betala ut ersättning till drabbade registrerade om de begär det.