Fem sjukhus har behandlat personuppgifter i strid med GDPR

Mål: 28436-20, 28568-20, 28574-20, 28581-20, 28703-20
Integritetsskyddsmyndigheten (IMY) har efter tillsyn funnit att sjukhusen behandlat personuppgifter i strid med dataskyddsförordningen (GDPR). Förvaltningsrätten finner att sjukhusen överträtt GDPR och att IMY därmed haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande.

Genom att tilldela varje användare behörighet för åtkomst till personuppgifter utan att genomföra behovs- och riskanalyser har de fem sjukhusen behandlat personuppgifter i strid med dataskyddsförordningen (GDPR). Detta anser IMY efter genomförd tillsyn.

Förvaltningsrätten finner att sjukhusen överträtt GDPR och att IMY därmed haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande. Förvaltningsrätten bedömer att sjukhusens underlåtenhet att genomföra behovs- och riskanalyser innebär inte bara en överträdelse av nationella bestämmelser utan också av de grundläggande principerna för personuppgiftsbehandling i GDPR.

- Det har i samtliga fall varit fråga om stora uppgiftssamlingar som varit tillgängliga för ett stort antal anställda och det rör sig dessutom om känsliga personuppgifter om enskildas hälsotillstånd, säger chefsrådmannen Anna Önell.

Mål nr Sjukhus Adm. sanktionsavgift
28436-20 Sahlgrenska Universitetssjukhuset 3,5 miljoner kronor
28568-20 Capio S:t Görans sjukhus 10 miljoner kronor
28574-20 Karolinska Universitetssjukhuset 4 miljoner kronor
28581-20 Region Östergötland 2,5 miljoner kronor
28703-20 Region Västerbotten 2,5 miljoner kronor