Umeå Universitet får ett vite om 550 000 Kronor meddelar Datainspektionen.

En grupp forskare vid universitetet har scannat offentliga förundersökningsprotokoll till pdfer och sparat dessa i en amerikansk molntjänst.

Protokollen innehöll personuppgifter och vissa av dessa var extra känsliga och rörde sexualliv och hälsa.

”Molntjänsten och sättet som universitetet använder den på ger inte ett tillräckligt skydd för den här typen av personuppgifter, säger Linda Hamidi som lett Datainspektionens granskning.”

Datainspektionen konstaterar att universitetet brutit mot dataskyddsförordningen när det hanterat känsliga personuppgifter utan att vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda uppgifterna.

Umeå Universitet är en offentlig myndighet där maxvitet är begränsat till 10Mkr. Vitet utgör därför 5,5% av maxvitet.

Några reflektioner:

  • Det är inte för att personuppgifter är offentliga som en organisation kan hantera dem hur som helst. Varje organisation måste ha sin egen lagliga grund för hanteringen, upprätta relevant dokumentation för hanteringen och säkerställa att uppgifterna skyddas på rätt sätt.
  • Även enskilda misstag av en anställd är vitesgrundande, då organisationen har ett ansvar att säkerställa att både rutiner och tekniska lösningar skyddar den personliga integriteten för registrerade.
  • Umeå Universitet saknar både dokumentation av sin ostrukturerade data och en teknisk lösning med förmåga att monitorera personuppgiftshanteringen och påkalla åtgärd vid felaktig hantering.

Mängden personuppgifter i ostrukturerad data, filer och e-post, är enorm och rutiner med manuell hantering räcker inte för att säkerställa ett tillräckligt dataskydd. Dessutom är personuppgifter i löpande text, som i ett förundersökningsprotokoll, fullständigt kontextuella och bygger på semantik. Den tekniska lösningen kräver därför kognitiva förmågor, AI, som kan förstå både kontext och semantik.

Med Aigine Inventory identifieras även kontextuella personuppgifter och den obligatoriska dokumentationen upprättas för all personuppgiftsbehandling med AI, vilket möjliggör monitorering och händelsestyrd avvikelsehantering. Dessutom ger Aigine Inventory en kontinuerlig utbildning av anställda i dataskydd.

Något som hade hjälpt Umeå Universitet.

https://www.datainspektionen.se/nyheter/universitet-brast-i-skyddet-av-kansliga-personuppgifter/