Känsliga uppgifter som namn, personnummer och diagnoskoder har hanterats felaktigt och lagrats utanför Region Stockholms brandvägg. Uppgifterna tillhör personer som besökt vårdcentraler, habilitering, psykiatri eller geriatrik i regionens egen regi under lång tid.
– Vi upptäckte att man har hanterat behörigheter på ett otillbörligt sätt, och samtidigt upptäcktes att personuppgifter lagrats på en lagringsyta utanför våra brandväggar. Det är ett handhavandefel av regionen, säger Maria Ohlson Andersson vid närsjukvården SLSO.
Det var i maj i år som felet uppdagades. Regionen upptäckte då ett dataintrång. En anställd på förvaltningen har polisanmälts. I samband med det upptäcktes den felaktiga hanteringen av en stor mängd personuppgifter från stockholmares vårdbesök.
– Det handlar om felaktig användning av behörigheter, men också hur personuppgifter lagrats på en extern lagringsyta utanför regionens brandvägg, säger Maria Ohlson Andersson.
Hur har det kunnat ske?
– Vi tar ut personuppgifter för att använda för forskning och statistik, och som vi använder för att följa upp våra verksamheter, säger Maria Ohlson Andersson.
Upp till 170 000 personer kan beröras, och uppgifterna har tagits ut och lagrats externt så långt tillbaka som år 2013. Enligt regionen handlar det inte om hela patientjournaler utan om uppgifter som tagits ut från journaler.
På frågan om hur detta har kunnat pågå under så lång tid blir svaret:
– Vi har nu skärpt våra rutiner för behörigheter och för vår systematiska uppföljning när man arbetar med den här typen av ärenden.
En förundersökning pågår. Regionen har även gjort anmälan till Integritetsskyddsmyndigheten, Imy. Men det är först nu som Region Stockholm informerar allmänheten.
– Det är för att det pågår en förundersökning. Men vi vill informera så att patienter har möjlighet att höra av sig och få veta om deras uppgifter funnits på den här ytan, säger Maria Ohlson Andersson.
Enligt regionen finns uppgifterna inte längre kvar på den externa lagringsytan.
Patienter kan höra av sig till regionen genom den digitala tjänsten Alltid öppet, för att få veta om de berörs. Regionen bedömer inte att patientuppgifterna har nått obehöriga.
DN har sökt Integritetsskyddsmyndigheten, som avstår från att kommentera med hänvisning till den pågående förundersökningen.
