Ny sanktion mot Umeå Universitet på 550 000 kronor

0
902
Vector illustration of cloud hacking during synchronization process

Universitet brast i skyddet av känsliga personuppgifter

Umeå universitet har hanterat känsliga personuppgifter om sexualliv och hälsa i bland annat en molntjänst, utan att skydda uppgifterna tillräckligt. Datainspektionen utfärdar därför en sanktionsavgift på 550 000 kronor mot universitetet.

Datainspektionen har nu avslutat en granskning av Umeå universitet och konstaterar att universitetet brutit mot dataskyddsförordningen när det hanterat känsliga personuppgifter utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

En forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om  bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.

Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till en amerikansk molntjänst, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten.

– Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Datainspektionens granskning.

När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över oskyddad e-post.

– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident. Sedan 25 maj 2018 finns en skyldighet för organisationer att anmäla personuppgiftsincidenter till Datainspektionen.

– Den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.

Sammantaget gör de konstaterade bristerna att Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot universitetet.

Läs texten på datainspektionens hemsida:

Universitet brast i skyddet av känsliga personuppgifter – Datainspektionen

 

LÄMNA ETT SVAR

Vänligen ange din kommentar!
Vänligen ange ditt namn här

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.