Integritetsskyddsmyndigheten (IMY) har granskat Region Uppsala efter två rapporter om personuppgiftsincidenter från regionen. Incidenterna rör uppgifter om hälsa och således känsliga personuppgifter enligt GDPR. Granskningen visar att regionen har brustit i sina tekniska såväl som organisatoriska åtgärder. Tekniska brister ledde till att obehöriga fick åtkomst till personuppgifterna, och behandlingen av uppgifterna stred mot regionens riktlinjer, vilket indikerar bristfälliga organisatoriska åtgärder. Granskningen gjordes baserat på hur uppgifterna har behandlats via e-post.
Myndigheten konstaterar att regionen har brustit i att kryptera informationen i e-postmeddelanden gällande känsliga personuppgifter och personnummer kring patienter som har skickats automatiskt samt manuellt mellan berörda vårdförvaltningar och läkare inom regionen. Myndigheten konstaterar även brister i överförandet av personuppgifter till tredje land och dess lagring. IMY hävdar att regionen har brustit i att vidta de åtgärder som krävs för att skydda känsliga personuppgifter i e-postmeddelanden samt vid lagringen av uppgifterna i deras server. Av denna anledning utfärdar IMY en sanktionsavgift på 1,900,000 kronor till Region Uppsala.
