Redaktör

2020-12-11 11:22

Känsliga personuppgifter lades hos Box – får böta halv miljon

En forskargrupp vid Umeå universitet har av misstag bifogat känsliga personuppgifter kring våldtäkter av män i okrypterad e-post till Polisen. Dessutom har uppgifterna legat hos molntjänsten Box utan att tillräckliga tekniska åtgärder vidtagits. Nu dömer Datainspektionen ut en sanktionsavgift på 550 000 kronor.

Umeå universitet har brutit mot dataskyddsförordningen GDPR när en forskargrupp hanterat känsliga personuppgifter konstaterar Datainspektionen i en granskning.

En forskargrupp vid universitetet begärde och fick ut förundersökningsprotokoll som rör våldtäkt mot män och som bland annat innehåller uppgifter som namn, personnummer och kontaktuppgifter men också känsliga uppgifter om sexualliv och hälsa.

Protokollen skannades in och lades hos den amerikanska molntjänsten Box 2018 trots att information om att känsliga personuppgifter inte bör lagras där har publicerats på universitets intranät i september 2016.

Dröjde tre år

Först 2019 togs uppgifterna bort därifrån. Datainspektionen konstaterar att det under tiden som protokollen låg hos Box var det tillåtet att överföra uppgifter till USA med stöd av Privacy Shield – något som ändrades först efter Schrems II-domen som kom i somras.

Däremot har informationen inte skyddats ordentligt i molntjänsten slår Datainspektionen fastoch pekar på att den som olovligt kommit över användarnamn och lösenord kunnat utge sig som behörig och ta del av uppgifterna i klartext.

– Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Datainspektionens granskning, i en kommentar.

Dessutom har forskarna inte mindre än två gånger bifogat de inskannade protokollen i vanliga mejl som skickats till Polismyndigheten när man begärt kompletterande uppgifter. Redan första gången, 2017, påpekades det från Polisen det olämpliga i att skicka känsligt material i oskyddad e-post.

Samma misstag upprepades

Forskargruppen beklagade det inträffade och hänvisade till den mänskliga faktorn men två år senare upprepades samma sak.

– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Universitetet har heller inte anmält händelserna till Datainspektionen trots att det finns en sådan skyldighet enligt GDPR.

För dessa incidenter utfärdar nu Datainspektionen en administrativ sanktionsavgift på 550 000 kronor mot Umeå universitet.

Läs också:
Sju vårdgivare får GDPR-böter – inte gjort riskanalyser som krävs
Stora brister i Stockholms skolplattform – får GDPR-bot på fyra miljoner

Karin Lindström

Redaktör

Karin Lindström

Läs alla nyheter och artiklar om GDPR – den nya dataskyddsförordningen

Följ hela vår bevakning av GDPR →

Senaste nytt

2023-09-22 15:08Computer Sweden Viktor Eriksson Nya studier tyder på att månen Europa har hav som innehåller koldioxid
2023-09-22 14:19Computer Sweden Viktor Eriksson Elon Musks Neuralink letar efter mänskliga testsubjekt
2023-09-22 13:47Computer Sweden Viktor Eriksson Microsoft börjar sälja AI-assistenten 365 Copilot till stora kunder
2023-09-22 11:59Computer Sweden Mikael Markander Brittiskt ja till Microsofts köp av Activision Blizzard
2023-09-22 11:00Computer Sweden Mikael Markander Officiell säljstart för Iphone 15 och nya Apple Watch

100 Senaste

Computer Sweden

Computer Sweden är Sveriges största nyhetskälla inom it och affärer. Vi publicerar dagligen nyheter som du kan ta del av via sajt, mobil, nyhetsbrev och event.

Chefredaktör & ansvarig utgivare: Marcus Jerräng
Annonsansvarig: Lina Vikman
Teknikfrågor: Henric Jogin

Computer Sweden | CIO Sweden | IDG.se

Nyttiga länkar

Om

Besöksadress: Magnus Ladulåsgatan 65 106 78 Stockholm Tel: 08-453 60 00

Foundry

Sajter om it & teknik

CIO SwedenIt-strategi, affärsnytta och kundrelationer.
Computer SwedenDagliga nyheter om it, telekom och affärer.
IDG.seDe viktigaste nyheterna från sajterna i vårt nätverk.
M3Sveriges prylsajt.
MacWorldAllt om Mac, OS X, Iphone och Ipad.
PC för AllaSveriges största och mest lästa datortidning.
SmartworldDin guide till det smarta hemmet.

Tjänster

Karriär & ledarskap

Stäng

Meny

IT för proffs

Het teknik

Samhälle & politik

Big Tech

Om

Karin Lindström

Redaktör

Känsliga personuppgifter lades hos Box – får böta halv miljon

Dröjde tre år

Samma misstag upprepades

Karin Lindström

Redaktör

Läs alla nyheter och artiklar om GDPR – den nya dataskyddsförordningen

Computer Sweden

Nyttiga länkar

Om

IDG.se

Nordens största it-nätverk

Foundry

Sajter om it & teknik

Tjänster

Karriär & ledarskap