Patienten hade fått rådgivning digitalt och genom att googla sitt personnummer hittat inte bara namn och personnummer utan också konsultationen med vårdgivaren.
Integritetsskyddsmyndigheten inledde ett tillsynsärende 2021, men trots att vårdföretaget gjorde om sin webbsida och tog bort de exponerade uppgifterna fann IMY fortfarande brister.
Myndigheten konstaterar att företaget i flera månader under 2022 inte skyddat uppgifter som överförts genom exempelvis kryptering, när vårdsökandes uppgifter samlats in via webbformulär. Det betyder att även om uppgifterna inte lagrades på samma exponerade sätt, var överföringen av data inte tillräckligt säker.
IMY anser därför att företaget brutit mot dataskyddsförordningen genom att inte vidta lämpliga åtgärder för att skydda informationen och ska betala 20 000 kronor i en administrativ sanktionsavgift.
Sedan oktober i år är datahanteringen på företagets webbplats dock tillräcklig, uppger IMY i sitt beslut.