Bland annat har regionen skickat information om patienter till mottagare utomlands utan tillräcklig kryptering – och därmed riskerat att någon obehörig kunnat komma åt den. Sammanlagt ska Region Uppsala betala 1,9 miljoner i sanktionsavgift.
– I det ena fallet har journaluppgifter skickats till mottagare utomlands. I det andra har personuppgifter från journalsystemet förts över på excel-filer som skickats till andra mottagare inom Region Uppsala, säger Linda Hamidi.
Felen har i det ena fallet begåtts inom regionstyrelsen och i det andra fallet inom sjukhusstyrelsen. IMY kan dock inte säga om någon obehörig faktiskt kommit åt informationen.
Upp till 10 000 berörda
Det var när sjukhuset utförde högspecialiserad vård av personer som inte var folkbokförda i Sverige som journalerna, under åren 2018-2019, skickades på ett osäkert sätt.
Akademiska sjukhuset har varje år patienter från drygt 45 länder inom EU/ESS och utanför. I anmälan uppskattas det att man har skickat omkring 10 000 till 100 000 uppgifter som berör mellan 1 000 och 10 000 patienter.
”Ska inte vara möjligt”
Regionen menar att man nu sett över sina rutiner.
– Patienterna ska kunna lita på att inte obehöriga kan ta del av personuppgifter. Vi tror inte att det har skett i dessa fall men det ska inte ens vara hypotetiskt möjligt. Vi kommer att fortsätta att följa upp så att alla regler följs och anmäla alla incidenter till Integritetsskyddsmyndigheten, säger Emilie Orring (M), ordförande för regionstyrelsen.
Fotnot: När granskningen inleddes hette Integritetsskyddmyndigheten Datainspektionen.