L’autorité de surveillance suédoise inflige une amende administrative à la région de Dalécarlie qui avait envoyé par courrier des lettres de rendez-vous à des patients avec des données personnelles sensibles visibles dans des enveloppes à fenêtre.
L’AS suédoise a lancé un audit de la région de Dalécarlie après avoir reçu des plaintes selon lesquelles la région avait imprimé des lettres de rendez-vous à des patients dans lesquelles l’établissement de santé auquel la visite faisait référence était entièrement visible dans l’enveloppe à fenêtre.
L’APD suédoise a conclu que le traitement des données personnelles dans le cas présent est partiellement automatisé et que le règlement sur la protection des données est applicable. L’utilisation d’enveloppes à fenêtre lors de l’envoi de lettres de rendez-vous provenant des cliniques couvertes par l’audit, où l’établissement de soins actuel était visible dans l’enveloppe à fenêtre, signifie que des données personnelles sensibles ont été divulguées sans autorisation pour un nombre inconnu de personnes entrées en contact avec la lettre. Cela représente environ 2 500 lettres par an, notamment adressées à une clinique de médecine pour enfants et adolescents et à une clinique de thérapie pour enfants et adolescents.
« Cela signifie que des données personnelles sensibles sur le patient ont été accessibles, par exemple, à la personne qui livre le courrier, à la personne qui vit avec le destinataire et à la personne qui a reçu une lettre livrée à la mauvaise adresse. Les données n’ont donc pas été suffisamment protégées« , explique la conseillère juridique Maja Welander, qui a dirigé l’audit.
Le conseil des soins de santé de la région de Dalécarlie déclare qu’il a acheté un service pour l’envoi de lettres de rendez-vous dont l’enveloppe ne doit pas indiquer clairement à quelle clinique se réfère une lettre concernant une visite médicale. Cependant, après le début de l’audit de l’IMY, la commission a mené une enquête qui a montré que le service en question ne couvrait pas toutes les lettres de nomination et que des lettres de certains établissements de soins étaient donc envoyées dans des enveloppes indiquant à quelle clinique se référait la visite.
La DPA suédoise déclare dans sa décision que la région n’a pas pris de mesures de sécurité suffisantes pour protéger les données personnelles sensibles contre toute divulgation non autorisée dans le cadre de l’envoi d’invitations physiques à certaines visites médicales dans la région. L’autorité impose donc une sanction administrative de 200 000 SEK à l’encontre de la région pour violation de la réglementation sur la protection des données.