Fem sjukhus har behandlat personuppgifter i strid med GDPR

2021-05-26

Genom att tilldela varje användare behörighet för åtkomst till personuppgifter utan att genomföra behovs- och riskanalyser har de fem sjukhusen behandlat personuppgifter i strid med dataskyddsförordningen (GDPR). Detta anser IMY efter genomförd tillsyn.

Förvaltningsrätten finner att sjukhusen överträtt GDPR och att IMY därmed haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande. Förvaltningsrätten bedömer att sjukhusens underlåtenhet att genomföra behovs- och riskanalyser innebär inte bara en överträdelse av nationella bestämmelser utan också av de grundläggande principerna för personuppgiftsbehandling i GDPR.

- Det har i samtliga fall varit fråga om stora uppgiftssamlingar som varit tillgängliga för ett stort antal anställda och det rör sig dessutom om känsliga personuppgifter om enskildas hälsotillstånd, säger chefsrådmannen Anna Önell.

Mål nr Sjukhus Adm. sanktionsavgift 28436-20 Sahlgrenska Universitetssjukhuset 3,5 miljoner kronor 28568-20 Capio S:t Görans sjukhus 10 miljoner kronor 28574-20 Karolinska Universitetssjukhuset 4 miljoner kronor 28581-20 Region Östergötland 2,5 miljoner kronor 28703-20 Region Västerbotten 2,5 miljoner kronor
 
Warning1