Region bryter mot Dataskyddsförordningen
Sanktionsavgift efter hantering av kallelser till vårdmottagningar
Enligt beslut publicerat 17/1 2023 anser Integritetsskyddsmyndigheten (IMY) att Hälso- och Sjukvårdsnämnden i en region mellan 6/5 2021 och 6/7 2022 brutit mot artikel 32.1 i dataskyddsförordningen. De har inte vidtagit adekvata åtgärder för att skydda uppgifter i samband med utskick av kallelser till vissa vårdbesök. Kallelserna har hanterats via Postnord Strålfors AB:s funktion ”eBREV”. Detta då ca 2 500 kallelser skickats ut i kuvert med dubbla fönster, som förutom patientens namn och adress, gjort fullt synligt att det var en kallelse till en vårdmottagning samt vilken mottagning det gällde.
Problemet med dubbla fönster observerades under upphandling, och det åtgärdades genom en tilläggstjänst där särskilda kuvert med bara ett fönster användes (Regionens adress trycktes på kuvertet i sig). Denna tilläggstjänst gällde dock bara kallelser upp till 5 A4-ark. Vid fler ark än 5 behövdes större kuvert, varvid ordinarie sort med dubbla fönster användes.
Den problematiska behandlingen anmäldes 6/5 2021 av en kallelsemottagare, och kvarstod enligt uppgift till 6/7 2022. Det framkom att tre specifika enheter skickade kallelser längre än fem A4-ark, vars mallar ändrades på så vis att den känsliga informationen inte syns genom kuvertens fönster. De dubbelfönstren kuverten fortsatte dock att användas.
IMY bedömer att regionen brutit mot Dataskyddsförordningen
IMY bedömer att Dataskyddsförordning gäller, eftersom det gått att identifiera berörd person och processen har varit delvis automatiserad. IMY kommer även fram till att behandlingen innebar en hög risk, då uppgiften om kallelse till vårdinrättning i det aktuella fallet är en uppgift om hälsa, vilket även explicit och specifikt inkluderat barn.
Eftersom personuppgifterna har varit synliga för alla i utskickens närvaro, exempelvis posthanterare och boende på samma adress, och åtgärden med specialkuvert inte applicerades på samtliga utskick, anses nämnden inte har vidtagit tillräckliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med den aktuella behandlingen.
Då många påverkades, problemet kvarstod under en längre tid, behandlingen omfattade känsliga personuppgifter om hälsa och uppgifter om barn, bestämde IMY att en administrativ sanktionsavgift på 200 000 SEK ska betalas av nämnden.
Våra reflektioner kring hanteringen
Notera att nedanstående är en analys ur ett informationssäkerhetsperspektiv, inte en juridisk analys av IMYs bedömning.
Det finns många lärdomar att dra av denna situation, inte bara för organisationen inom sjukvård eller närliggande branscher, utan all offentlig och privat verksamhet som arbetar med känsliga personuppgifter, eller tillhandahåller tjänster gentemot sådana parter.
För personuppgiftsansvariga är det mycket viktigt att man är medveten om att detta ansvar inte försvinner när den praktiska hanteringen av uppgifterna upphandlas till annan part. Detta är väl känt sedan tidigare, och i detta fall kan noteras att särskilda skyddsåtgärder redan identifierats och implementerats för att förhindra exakt den omständighet som ligger till grund för tillsynen och det påföljande beslutet.
Utan insikt i det specifika avtalet mellan parterna kan inte utläsas huruvida det noterades någonting kring hur man skulle hantera situationer där den särskilda skyddsåtgärden inte kunde appliceras till följd av någon oförutsedd händelse eller omständighet. Generellt sett så måste det under upphandlingen säkerställas att alla rimliga omständigheter täcks upp i rutiner och bestämmelser, men kanske ännu viktigare är att alla oförutsedda omständigheter som förhindrar att tjänsten levereras i enlighet med de säkerhetskrav som upphandlats hanteras i enlighet med en incidenthanteringsrutin. Denna rutin måste anpassas till tjänsten i fråga, i synnerhet i relation till huruvida det bedöms viktigare att konfidentiell information behålls konfidentiell, eller om det viktigaste är att tjänsten fortsätter levereras. Bedömningen bör inte överlåtas till leverantör. Det kan inte heller utan belägg från upphandling och avtal göras antaganden om hur en leverantör kommer agera under en pågående incident, eller reagera på en avvikande omständighet.
Som leverantör av tjänster av detta slag, där man därmed hanterar kundinformation, är man naturligtvis bunden till de avtal de ingått med den personuppgiftsansvarige. Utöver det är det dock av stor vikt att man söker säkerställa att man har en god uppfattning om grunden för de säkerhetskrav som ingått i avtalet. Att en beställare inte tydligt definierat hur en situation ska hanteras, eller delgett en tydlig och prioriterad informationsklassning, betyder inte att man getts fria tyglar att göra denna bedömning på egen hand. En utebliven specifikation är ett problem för alla parter, då det öppnar för missuppfattningar som både höjer risken för incidenter, försvårar hanteringen av eventuella incidenter, och kan leda till allvarliga konflikter när ansvar ska tilldelas någon av parterna efter en incident.
I detta specifika fall bör också noteras att risken redan hade identifierats och till synes åtgärdats, men att en tillkommande omständighet neutraliserade åtgärden, vilket belyser vikten av heltäckande testning och uppföljning, då det sannolikt hade noterats att åtgärden inte applicerats i samtliga fall om sådan genomförts.