Umeå universitet ska betala en sanktionsavgift på 550 000 kr enligt ett beslut från Integritetskyddsmyndigheten. Anledningen är att universitetet har hanterat känsliga personuppgifter i en molntjänst och inte skyddat dem tillräckligt. De känsliga uppgifterna handlade om sexualliv och hälsa.
Det var en grupp forskare vid universitetet som hade begärt ut protokoll från förundersökningar rörande våldtäkt mot män. Forskarna har sedan scannat av flera hundra dokument och laddat upp kopiorna i en amerikansk molntjänst. Dokumenten innehöll känsliga uppgifter om bland annat sexualliv och hälsa. Dessutom innehöll dem uppgifter om misstanke om brott, namn, personnummer, kontaktuppgifter m.m.
Universitetet hade dock genom sitt intranät informerat om att känsliga uppgifter inte ska bli lagrade i den amerikanska molntjänsten som var tillgänglig. Men detta hade forskarna gjort ändå.
Universitetet får även kritik från Integritetsskyddsmyndigheten för att de inte har anmält inträffade personuppgiftsincidenter. Enligt GDPR ska incidenter bli anmälda till myndigheten inom 72 timmar.
En av incidenterna som inträffat var att forskargruppen skickade ett meddelande till polisen med en förfrågan om kompletterande uppgifter. I e-postmeddelandet hade forskargruppen bifogat ett inskaffat protokoll, som innehöll känsliga uppgifter. Polisen hade påpekat för forskargruppen att det var olämpligt att skicka känsliga uppgifter via oskyddad e-post, men forskargruppen upprepade händelsen vid ett senare skede.
Förutom anmälningsskyldigheten av personuppgiftsincidenter, är personuppgiftsansvariga även skyldiga att föra intern redovisning och uppföljning av det inträffade. Exempelvis ska förhindrande åtgärder bli noterade och vilka åtgärder som har företagits för att minimera riskerna för upprepade incidenter i framtiden.
Efter granskningen, konstaterade Integritetskyddsmyndigheten att universitetet brutit mot dataskyddsförordningen (GDPR). De har brutit mot GDPR genom att inte ha tillämpat tillräckliga tekniska och organisatoriska åtgärder för att skydda de känsliga uppgifterna som de har hanterat.
På grund av bristerna ska Umeå universitet betala en sanktionsavgift på 550 000 SEK.