Fem sjukhus döms för brister i GDPR

GDPR Förvaltningsrätten i Stockholm har dömt fem sjukhus att betala över 22 miljoner kronor i sanktionsavgifter. Anledningen är att de brutit mot principerna för GDPR.

Fem sjukhus döms för brister i GDPR
Sjukhusen har tilldelat användare behörighet för åtkomst till personuppgifter utan att genomföra behovs- och riskanalyser. Foto: Adobe Stock

De fem sjukhusen det handlar om är Sahlgrenska Universitetssjukhuset, Capio S:t Görans sjukhus, Karolinska Universitetssjukhuset, Region Östergötland och Region Västerbotten, skriver Blendow Lexnova.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.

Bristerna handlar om att sjukhusen har låtit anställda få full tillgång till patientuppgifter utan att göra en behovs- och riskanalys. Enligt Socialstyrelsens föreskrift ska vårdgivaren göra en behovs-och riskanalys, innan tilldelning av behörigheter i systemet sker.

Saknar riskanalys av behoven

När det gäller exempelvis Sahlgrenska Universitetssjukhuset konstaterar Integritetsskyddsmyndigheten, IMY, att sjukhuset enbart gjort en beskrivning av vilka system en medarbetare behöver ha åtkomst till och inte genomfört en analys av verksamhetens, olika processers och personalkategoriers behov av att behandla uppgifter.

Förvaltningsrätten i Stockholm bedömer att sjukhusens underlåtenhet att genomföra behovs- och riskanalyser inte bara är en överträdelse av nationella bestämmelser utan också av de grundläggande principerna för personuppgiftsbehandling i GDPR.

Överträdelsens karaktär och svårighetsgrad medför också att IMY haft fog för att inte låta ingripandet stanna vid endast ett föreläggande.

Så mycket ska sjukhusen betala

De fem sjukhusen döms att betala administra sanktionsavgifter på totalt 22,5 miljoner kronor:

  • Sahlgrenska Universitetssjukhuset som får betala 3,5 miljoner kronor
  • Capio S:t Görans sjukhus måste betala 10 miljoner kronor
  • Karolinska Universitetssjukhuset döms att betala 4 miljoner kronor
  • Region Östergötland och Region Västerbotten ska betala 2,5 miljoner kronor vardera.