Hälso- och sjukvårdsnämnden i Region Örebro län har gjort fel vid publicering av känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik. Det visar Datainspektionens granskning av ärendet efter att man tagit emot ett klagomål.

– Vår granskning av det inträffade visar att känsliga personuppgifter felaktigt publicerats och har legat öppna på kommunens webbplats, säger Elin Hallström, jurist på Datainspektionen.

Saknas skriftliga rutiner

Av Datainspektionens granskning framgår också att det inte finns några skriftliga rutiner som rör publicering av handlingar och personuppgifter på webbplatsen, utan att rutiner kring publiceringen delges muntligt.

I det aktuella fallet har de muntliga rutinerna inte följts och handlingen publicerades av misstag, vilket enligt Datainspektionen tyder på att nämnden inte har vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att personuppgifter skyddas från att felaktigt publiceras på regionens webbplats.

– Därför förelägger vi nu nämnden att ta fram skriftliga instruktioner och införa rutiner som säkerställer att den som publicerar personuppgifter på webben gör det enligt de instruktionerna.

Saknar laglig grund

I sitt beslut konstaterar Datainspektionen även att nämnden vad gäller publiceringen varken haft ett berättigat ändamål, en laglig grund eller en anledning till undantag från förbudet i dataskyddsförordningen mot att hantera känsliga personuppgifter.

Datainspektionen förelägger därför nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Den publicerade handlingen har tagits bort från regionens webbplats.

Läs också: Datainspektionens nya GDPR-dom: Mrkoll får böter på 365 000 kronor