Borttappat USB-minne kostar 200k

Välkomna, kära läsare. Idag ska vi dyka ner i en händelse som har satt Region Skåne i en utmanande situation när det gäller dataskydd.

Det hela började med att Integritetsskyddsmyndigheten (IMY) mottog en incidentrapport och klagomål från registrerade individer. Enligt rapporten hade en anställd hos Region Skåne förlorat ett okrypterat USB-minne innehållande personnummer och känsliga uppgifter om närmare 2 000 personer. Tyvärr har USB-minnet inte återfunnits trots eftersökningar.

Resultaten av IMY:s tillsyn visar att de tekniska och organisatoriska åtgärder som regionen vidtog inte var tillräckliga för att garantera en lämplig säkerhetsnivå, givet riskerna förknippade med behandlingen av dessa data. Problemets kärna ligger i att känsliga personuppgifter lagrats på ett okrypterat USB-minne, som sedan förlorades. Data på minnet kopplar ihop hälsoinformation med ett stort antal patienter genom deras personnummer, vilket innebär en betydande risk för dessa individers fri- och rättigheter.

Detta misslyckande att uppfylla säkerhetskraven enligt dataskyddsförordningen är allvarligt, särskilt eftersom det gäller typen av personuppgifter som kräver ett starkt skydd. Det ligger i regionens ansvar att vidta både tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter, till exempel genom att använda krypterade USB-minnen.

IMY:s slutsats är att överträdelsen är allvarlig och rör ett stort antal registrerade individer vars personuppgifter skyddas av sekretess. Dessutom försvåras situationen av det faktum att USB-minnet inte återfunnits och att det är oklart hur mycket spridning personuppgifterna kan ha fått. IMY har därför beslutat att Region Skåne ska betala en administrativ sanktionsavgift på 200 000 kronor.

Detta fall visar på vikten av att alltid följa dataskyddsförordningens regler. Kom ihåg att det bästa skyddet mot sådana incidenter är förebyggande åtgärder och en stark dataskyddskultur. Säkerhet först, alltid!