Många drabbade när personuppgifter hamnar fel

Patientuppgifter till fel mottagare, gymnasieelever som fått brev med namn och personnummer på andra elever. Det var två av de incidenter Region Gotland anmälde till Datainspektionen förra året.

Johanna Mörnefält är jurist och Region Gotlands datskyddsombud. Hennes uppgift är att se till så att verksamheten inte bryter mot reglerna i förordningen GDPR.

Johanna Mörnefält är jurist och Region Gotlands datskyddsombud. Hennes uppgift är att se till så att verksamheten inte bryter mot reglerna i förordningen GDPR.

Foto: Åsa Sveds/arkiv

Gotland2020-06-15 07:21
Per Leino

Tolv incidenter med personuppgifter under fjolåret var så allvarliga att Region Gotland anmälde dem till Datainspektionen. 

– Vi hade förhållandevis få incidenter, tycker regionens dataskyddsombud Johanna Mörnefält.

Även om antalet tillfällen var få så drabbades desto fler. Vid ett av de tre tillfällen hälso- och sjukvården skickade patientuppgifter till fel mottagare drabbades 65 personer. Felutskicket till gymnasieeleverna röjde personuppgifter om 17 elever.

Inför ett beslut om en incident bör anmälas till Datainspektionen görs en bedömning om det inträffade rört känsliga personuppgifter eller inte.

– Datainspektionen har skrivit av alla ärenden vi fått återkoppling i. Några ärende är inte avgjorda ännu, konstaterar Johanna Mörnefält.

I fjol fick Datainspektionen in 4 800 anmälningar om personuppgiftsincidenter. I knappt hälften av fallen bedöms den mänskliga faktorn ligga bakom.

– Det stämmer nog för Region Gotland också, säger Johanna Mörnefält.

Samtliga regionens elva nämnder har register med personuppgifter. Av dem är det dock bara två som låtit utbilda all personal. 

– Vi har erbjudit alla grundläggande utbildning. Vi hade fyra träffar under hösten och har fortsatt i vår. Man blir aldrig fullärd, säger Johanna Mörnefält.

Dataskyddsförordningen GDPR (General Data Protection Regulation) började att gälla i maj 2018. Den ska stärka enskildas rättigheter och skydd. Inför starten inrättade regionen en e-tjänst för att alla enkelt skulle kunna begära ut uppgifter. Den möjligheten utnyttjade 85 gotlänningar i fjol. Vanligast (19 ärenden) var att begära utdrag ur sjukvårdens register, följt av socialnämnden (12).

13 personer begärde få uppgifter raderade, allra vanligast i patientjournaler. Det är dock inte så lätt att få uppgifter strukna.

– Regionen har en långtgående arkivskyldighet. Ska man få uppgifter raderade ur sjukvårdsregister får man begära det hos Ivo (Inspektionen för vård och omsorg), säger Johanna Mörnefält.

Alla som begär ut uppgifter ska få dem levererade digitalt på ett säkert sätt. Mängden kan dock bli så omfattande att de digitala brevlådor som finns i dag är otillräckliga. Hittills har alla som begärt ut uppgifter fått hämta dem i receptionen på Visborg, där de lämnats på ett USB-minne. Regionen räknar med att ha en digital lösning klart i höst.

Så jobbar vi med nyheter  Läs mer här!
Läs mer om
Datainspektionen
Gotland
Datasäkerhetsfrågor