I samtliga sex fall slår Datainspektionen fast att det finns brister i riktlinjerna för hur de anställda ska hantera känsliga personuppgifter per mejl.

– Det finns rutiner men de är inte tillräckligt tydliga när det gäller i vilka situationer det är olämpligt att använda e-post. Med otydliga instruktioner lämnas mycket av ansvaret över på den enskilde anställde. Då riskerar man att det växer fram en praxis där känsliga uppgifter ändå skickas via oskyddad e-post, säger Magnus Bergström, it-säkerhetsspecialist på Datainspektionen i en kommentar.

Av granskningarna framgår att det för socialnämndernas del till stor del handlar om att helt enkelt skriftligen förtydliga vad som är känsliga uppgifter.

För vårdgivarnas del har riktlinjerna i två fall inte uppdaterats sedan den nya patientdatalagen kom.

När det gäller Capio S:t Görans Sjukhus är rutinerna dock så bristfälliga att Datainspektionen förelägger sjukhuset att ta fram rutiner som uppfyller kraven i Socialstyrelsens föreskrifter.