Region Gotlands huvudentré på Visborgsområdet.
Alla verksamheter som hanterar personuppgifter, privata liksom offentliga, måste följa dataskyddsförordningen GDPR. Det innebär bland annat att vissa typer av personuppgiftsincidenter måste anmälas till Integritetsskyddsmyndigheten (IMY). Det kan handla om till exempel datorer som innehåller personuppgifter som försvinner eller stjäls eller att en obehörig part får tillgång till personuppgifter genom att någon skickat uppgifterna av misstag eller med avsikt.
En sådan incident uppdagades nyligen inom socialförvaltningen på Gotland. Enligt anmälan till Integritetsskyddsmyndigheten ska en mapp som innehöll känsliga personuppgifter plötsligt blivit tillgänglig för obehöriga medarbetare på enheten.
Bland annat ska mappen ha innehållit ett dokument som innehöll ett mejl från en medarbetare till enhetschefen. I mejlet berättade medarbetaren om hur hen upplevde arbetsbelastningen i relation till sin sjukdomshistorik.
En annan medarbetare upptäckte detta efter ett par timmar och larmade enhetschefen, som snarast åtgärdade det inträffade. Incidenten har nu också anmälts.
– Tanken med en anmälan är att utarbeta åtgärder för att undvika liknande incidenter i framtiden, säger Björn Persson, som är dataskyddsombud vid Region Gotland och har som uppdrag att övervaka att organisationen följer dataskyddsförordningen.
Enligt Integritetsskyddsmyndigheten är den vanligaste incidenten felskickade mejl eller brev.
Integritetsskyddsmyndigheten tog år 2020 emot totalt 4 588 anmälningar om personuppgiftsincidenter från hela landet. De flesta anmälningarna kom från den offentliga sektorn, som statliga myndigheter, domstolar och hälso- och sjukvården. Det vanligaste incidenten som anmäldes, 40 procent, var mejl eller brev som skickats fel.
– Jag skulle säga att regionen anmäler mellan 20 till 30 incidenter per år och det vanligaste felet är att brev skickas fel eller att papper har klibbat ihop och något som inte skulle ha skickats följer med, säger Björn Persson.
I mer än 50 procent av alla anmälningar som IMY tog emot 2020, uppgavs den mänskliga faktorn ligga bakom incidenterna, så också när det gäller det beskrivna fallet på Gotland.
Under 2020 inledde Integritetsskyddsmyndigheten tre tillsynsärenden baserade på personuppgiftsincidenter i landet. Enligt Björn Persson har aldrig någon anmälan från Gotland lett till något tillsynsärende hos myndigheten.