En forskargrupp vid universitet har från polisen begärt ut förundersökningsprotokoll som rör våldtäkt mot män och har därefter skannat dokumenten som polisen lämnat ut. Förundersökningsprotokollen innehåller uppgifter om bland annat misstanke om brott, namn, personnummer och kontaktuppgifter men även känsliga uppgifter om sexualliv och hälsa.
Datainspektionens granskning visar att forskargruppen fört över ett hundratal inskannade förundersökningsprotokoll till en amerikansk molntjänst, trots att universitetet på sitt intranät informerat om att känsliga uppgifter inte bör lagras i den aktuella molntjänsten.
När forskargruppen skickade ett mejl till polisen med en begäran om kompletterade uppgifter bifogades ett av de inskannade protokollen, en händelse som senare upprepades trots att polisen påpekat det olämpliga i att skicka känsligt material över oskyddad e-post.
– Dessa händelser visar att universitet inte har vidtagit de åtgärder som behövs för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Datainspektionen riktar även kritik mot universitetet för att det inte anmält det inträffade som en personuppgiftsincident. Sedan 25 maj 2018 finns en skyldighet för organisationer att anmäla personuppgiftsincidenter till Datainspektionen.
Det är alltså tre händelser som ligger till grund för sanktionsavgiften – behandling av känsliga uppgifter i en molntjänst utan tillräckliga organisatoriska och tekniska skyddsåtgärder i enlighet med artikel 32, mejl med känsliga uppgifter som skickats upprepat via okrypterad mejl, trots påpekande från polismyndigheten samt att dessa händelser inte har anmälts som personuppgiftsincidenter till datainspektionen.
Läs mer här: Universitet brast i skyddet av känsliga personuppgifter
