Integritetsskyddsmyndigheten ger försäkringsbolaget If en reprimand och Region Dalarna en sanktionsavgift för att inte ha skyddat känsliga personuppgifter på ett tillräckligt sätt när de skickat sådana med post och e-post. If skickade känsliga personuppgifter per e-post och krypterade förvisso meddelandet, men bara fram till mottagarens e-postserver och inte hela vägen fram till den slutliga mottagaren. Region Dalarna skickade kallelser till patienter med fönsterkuvert, där det tydligt framgick vilken vårdinrättning kallelsen avsåg. Både If och Region Dalarna behandlade därmed personuppgifter i strid med GDPR.
Verksamheter har en skyldighet att skydda personuppgifter, särskilt känsliga sådana, på ett tillräckligt säkert sätt. Syftet är att förhindra att någon annan än den avsedda mottagaren får tillgång till uppgifterna. Har ni kartlagt era känsliga personuppgifter? Har ni en fastställd rutin för hur medarbetarna kan skicka sådana uppgifter via brev och/eller e-post, eller på annat sätt?
Vet ni om era krypteringslösningar är tillräckligt säkra? Kontakta gärna Kerstin Eifrém om ni vill veta mer.
