– En enhet på Akademiska sjukhuset som vårdar utländska patienter har skickat patientuppgifter över öppna nät, inte krypterade nät. Man har skickat journaluppgifter i vanlig e-post, vilket man inte får göra, säger Anne Nilsson, chefsjurist vid Region Uppsala till Läkartidningen.

Enligt den anmälan av personuppgiftsincident som regionen själv skickat till Datainspektionen handlar det uppskattningsvis om mellan 10 000 och 100 000 uppgifter som berör mellan 1 000 och 10 000 patienter.

Det handlar om personer som är folkbokförda utomlands och som fått högspecialiserad vård på Akademiska. Sjukhuset har årligen patienter från drygt 45 länder, både från länder inom och utom EU/EES.

För att planera och följa upp vården har sekretessbelagda och känsliga personuppgifter mejlats utan kryptering från sjukhuset. Det handlar bland annat om utdrag ur patientjournaler som mejlats till patienternas hemländer.

I en annan incidentanmälan till Datainspektionen framgår att Region Uppsalas förvaltningar för en rad olika ändamål har tagit ut stora datamängder med patientuppgifter, exempelvis namn, personnummer, diagnoser och åtgärder, och skickat dem i Excelfiler i okrypterade mejl.

Regionen skriver att »Det saknas tekniska skyddsåtgärder för att förhindra läsning och ändring av informationen i Excelfilerna. Det saknas också skyddsåtgärder för att förhindra att andra obehöriga tar del av informationen och uppföljning av vilka som tagit del av informationen«.

Sedan det här upptäcktes har Region Uppsala fattat beslut om att använda tillfälliga krypteringslösningar för att kryptera sekretessbelagda uppgifter innan de överförs i öppna nät inom eller utom regionen eller sparas på regionens lagringsytor.

Beslutet, som fattades den 8 maj i år av den dåvarande regiondirektören Staffan Isling, ska gälla till dess att regionen inför mer långsiktiga krypteringslösningar.

I dag, tisdag, meddelade Datainspektionen att man inleder en granskning av Region Uppsala.

– Vi har fått in två personuppgiftsincidenter och med anledning av det har vi beslutat att inleda den här granskningen. Det man kan säga om händelseförloppet är att man har skickat patientuppgifter okrypterat. Patientuppgifter är ju så kallade känsliga uppgifter enligt dataskyddsförordningen GDPR och åtnjuter ett särskilt skydd. Vi ska ta reda på vad man har haft för stöd att behandla personuppgifter på det här sättet, säger Alli Abdulla, jurist vid Datainspektionen, till Läkartidningen.

Anne Nilsson uppger att det inte är sannolikt att uppgifterna kommit i orätta händer, men att risken finns.

Hur allvarligt skulle det säga att det här är?

– Det är ju en personuppgiftsincident helt klart. Det är därför vi har anmält den till Datainspektionen. Det ska inte gå till på det här viset. Det är väl vad jag kan säga. Det är många individer det handlar om, så det är något man verkligen måste följa upp, säger Anne Nilsson. 

Region Uppsala ska senast den 24 september i år ha svarat på Datainspektionens frågor.