VGR anmäler personuppgiftsincident

I den skarpa driften av Millennium har flera avvikelser rapporterats. Vissa av dessa avvikelser kan också klassas som personuppgiftsincidenter. Därför har VGR registrerat en initial anmälan till IMY och VGR avser att komplettera ärendet allt eftersom avvikelserna utreds.

Personuppgiftsincidenterna som hittills identifierats bedöms som mycket allvarliga utifrån IMY:s sätt att klassificera incidenter och VGR kommer utreda orsakerna för att försöka fastställa vad som har hänt.

Ord fallit bort ur journalen

– Vi har till exempel kännedom om ett fall där ett ord fallit bort i journalen som därmed fått en annan innebörd. En ändring av okänd anledning i en patientjournal ser vi som en mycket allvarlig personuppgiftsincident, säger Anders Andersson, informationssäkerhetschef, VGR. 
– Jag vill understryka att det här handlar om personuppgiftsincidenter som kan ha skett inom våra egna system. Det finns inga indikationer på att personuppgifter ska ha spridits utanför VGRs kontroll, fortsätter Anders Andersson.

Avvikelser gås igenom

VGR bedömer att det finns fler personuppgiftsincidenter i de avvikelser som rapporterats under tiden Millennium varit i drift och går igenom avvikelserna tillsammans med verksamheterna för att identifiera dessa.  

– Anmälan till IMY utgår från vad vi sett hittills. Min bedömning är att de avvikelser som identifierats som personuppgiftsincidenter antingen är kopplade till oförutsedda tekniska problem i och med driftstart och/eller att rutiner för handhavande inte varit tillräckligt implementerade. Utredning kommer fortgå, säger Anders Andersson.