Lexnova Nyheter

Sveriges största juridiska nyhetstjänst – bevakning av rättsfall, lagstiftning och förarbeten inom alla rättsområden och instanser.

Forskare skickade okrypterade mejl om våldtagna män – universitetet får sanktionsavgift

En forskargrupp råkade vid två tillfällen skicka två okrypterade mejl med förundersökningsprotokoll rörande våldtäkt mot män till Polismyndigheten. Universitetet påförs nu 450 000 kronor i sanktionsavgift för detta samt ytterligare 100 000 kronor för att inte ha dokumenterat och anmält incidenterna.

Forskare skickade okrypterade mejl om våldtagna män – universitetet får sanktionsavgift

Datainspektionen, DI, inledde ett tillsynsärende mot Umeå universitet i slutet av augusti 2019. Inspektionen hade nämligen fått information om att universitet skickat känsliga personuppgifter till Polismyndigheten via okrypterad mejl.  

Bakgrunden var att en forskargrupp begärt ut samtliga förundersökningsprotokoll rörande våldtäkt mot män i Sverige från 2014. I mitten av juli 2016 lämnade Polismyndigheten ut handlingarna via bud.

I samband med en begäran om komplettering via mejl bifogade forskargruppen oavsiktligt ett av de förundersökningsprotokoll som tidigare lämnats ut. Myndigheten kontaktade då forskargruppen och påpekade det olämpliga i att skicka känsligt material över oskyddade e-postkanaler. Gruppen beklagade det inträffade och hänvisade till den mänskliga faktorn.

Efter att ha begärt ytterligare en komplettering i februari 2019 bifogade dock forskargruppen återigen samma protokoll. När Polismyndigheten kontaktade gruppen medgavs att man även denna gång råkat bifoga det känsliga materialet i ett mejl.

Umeå universitet uppgav att forskningsprojektet vid universitet hade godkänts av Etikprövningsmyndigheten och förundersökningsprotokollet hade mottagits och lagrats utifrån ett allmänt intresse.

Forskargruppen hade, liksom vad Polismyndigheten uppgett, dock inte kunnat förklara varför det känsliga materialet vid två tillfällen skickats via okrypterad mejl.

Inspektionen konstaterar inledningsvis att Umeå universitet var personuppgiftsansvarig enligt dataskyddsförordningen, för de behandling av de aktuella personuppgifterna, fram till dess att projektet flyttades över till Uppsala universitet under våren 2019.

Inom ramen för forskningsprojektet konstateras också att ett förundersökningsprotokoll rörande våldtäkter mot män har skickats i ett okrypterat mejl till Polismyndigheten, vid två tillfällen. DI betonar vikten av att skyddet vid behandling av sådana känsliga personuppgifter som det rör sig om i fallet är starkt. Genom att skicka uppgifterna via okrypterade mejl innebär att detta skydd inte säkerställs.

Inspektionen anmärker dessutom att uppgifterna skickades via ett öppet nät. Det innebär att obehöriga har kunnat få åtkomst till de personuppgifter som förts över.

Sammantaget finner inspektionen det visat att Umeå universitet har behandlat personuppgifter i strid med dataskyddsförordningen genom att inte vidta lämpliga tekniska säkerhetsåtgärder utifrån uppgifternas känslighet och hur de kommunicerats okrypterat över öppet nät.

Samtidigt har universitet underlåtit att dokumentera händelserna direkt efter att Polismyndigheten mejlat och påpekat olämpligheten i det första okrypterade mejlet, i enlighet med artikel 33.1. Universitet har heller inte lämnat in en anmälan om personuppgiftsincident till Datainspektionen som det är skyldigt att göra enligt artikel 33.5.

Sammanfattningsvis anser inspektionen bland annat att universitet inte säkerställt en säkerhetsnivå som är lämplig i förhållande till risken att behandla de känsliga personuppgifter som ärendet gäller, och bedömer därför att en sanktionsavgift ska påföras.

Universitet ska betala sammanlagt 550 000 kronor i sanktionsavgift. 450 000 kronor avser de okrypterade utskicken och den bristfälliga lagringen av 108 andra förundersökningsprotokoll i molntjänsten Box. De resterande 100 000 kronorna avser underlåtenhet att dokumentera och anmäla incidenterna.  

Ladda ner dokument

Namn Storlek Ladda hem

2019-9432.pdf

300 KB
Instans
Övriga instanser
Rättsområden
IT-rätt, Skola och utbildning, Personuppgifter och integritet