Genom att tilldela varje användare behörighet för åtkomst till personuppgifter utan att genomföra behovs- och riskanalyser har de fem sjukhusen behandlat personuppgifter i strid med dataskyddsförordningen (GDPR). Detta anser IMY efter genomförd tillsyn.
Förvaltningsrätten finner att sjukhusen överträtt GDPR och att IMY därmed haft fog för att ingripa dels genom en administrativ sanktionsavgift, dels ett föreläggande. Förvaltningsrätten bedömer att sjukhusens underlåtenhet att genomföra behovs- och riskanalyser innebär inte bara en överträdelse av nationella bestämmelser utan också av de grundläggande principerna för personuppgiftsbehandling i GDPR.
- Det har i samtliga fall varit fråga om stora uppgiftssamlingar som varit tillgängliga för ett stort antal anställda och det rör sig dessutom om känsliga personuppgifter om enskildas hälsotillstånd, säger chefsrådmannen Anna Önell.
| Mål nr | Sjukhus | Adm. sanktionsavgift |
| 28436-20 | Sahlgrenska Universitetssjukhuset | 3,5 miljoner kronor |
| 28568-20 | Capio S:t Görans sjukhus | 10 miljoner kronor |
| 28574-20 | Karolinska Universitetssjukhuset | 4 miljoner kronor |
| 28581-20 | Region Östergötland | 2,5 miljoner kronor |
| 28703-20 | Region Västerbotten | 2,5 miljoner kronor |