Datainspektionen har nu sammanställt en rapport för anmälningar av personuppgiftsincidenter under 2018 och totalt anmäldes 2 258 personuppgiftsincidenter utifrån GDPR av olika organisationer i Sverige och anmälningarna ökade successivt under året. Till en början när GDPR och även anmälningsskyldigheten infördes förekom en del anmälningar av incidenter som egentligen inte är anmälningspliktiga, men den överhängande delen av anmälningarna under föregående år har dock varit personuppgiftsincidenter med omfattande risker för de personer vars personuppgifter berörts av incidenten.

De flesta anmälningarna under 2018 är ifrån finansiella sektorn och näringslivet, men att organisationer inom ett visst verksamhetsområde anmäler många incidenter behöver inte betyda att det finns omfattande brist i säkerheten. Det skulle även kunna bero på att det finns givna rutiner som skapar goda förutsättningar för att upptäcka och rapportera personuppgiftsincidenter.
Den vanligaste incidenten av de anmälda är att brev eller e-post innehållandes personuppgifter oavsiktligen hamnar hos fel mottagare. Alla felskickade brev och e-post är dock inte incidenter, utan för att anmälningsplikt ska föreligga vid den typen av incidenter ska brevet exempelvis innehålla finansiell information, uppgifter om ett stort antal människor eller känsliga personuppgifter. Den näst vanligaste incidenten av anmälningarna är att någon olovligen har tagit del av personuppgifter exempelvis genom att fel eller för stort antal personer i en organisation har givits behörighet till ett system som lagrar personuppgifter. En annan förekommande incident är obehörigt röjande som innebär att personuppgiftsansvarige eller någon under dennes ledning har behandlat uppgifter på sätt som medfört att de kommit till obehörigas kännedom. Exempelvis att ett e-postmeddelande med känslig information har väldigt många mottagare och att mottagarna kan se vilka andra som också fått meddelandet. Andra exempel på personuppgiftsincidenter är att tjänstedatorer tappas bort, att organisationen utsätts för inbrott eller dataintrång.

Anledningen till personuppgiftsincidenterna är, i de flesta fall, den mänskliga faktorn, motsvarande ungefär 60 procent av anmälda personuppgiftsincidenter under 2018. I de allra flesta fallen beror det på att personer i organisationen som hanterar personuppgifter begår misstag och inte sällan är det e-post som skickats fel eller att det föreligger brister i organisationens rutiner för hur personuppgifter ska hanteras.
Datainspektionen har utvärderat anmälningarna under 2018 och framtagit allmänna rekommendationer för att förebygga men även dämpa konsekvenserna om en personuppgiftsincident inträffar. Då en stor andel av incidenterna beror på den mänskliga faktorn framhålls att det är viktigt att det finns styrdokument och information om tekniska säkerhetsåtgärder i organisationen, samt att personalen utbildas. Därtill att det inom organisationen informeras och påminns om riskerna med att öppna länkar eller filer från okända avsändare och att personuppgifter som lagras i exempelvis laptops och telefoner bör krypteras för att undvika att informationen hamnar i orätta händer. Seden understryks även vikten av att alltid kontrollera mottagarna för ett brev eller e-post innehållandes personuppgifter för att säkerställa att det är korrekt mottagare, samt för de fall mottagarna av e-posten är flera, överväga om funktionen dold kopia ska användas eller om det är nödvändigt att genom kryptering skydda exempelvis känsliga personuppgifter i brevet.

En annan rekommendation är att organisationen tillämpar behörighetsstyrning och har löpande rutiner för att endast ett begränsat antal personer i organisationen som behöver behandla personuppgifterna har tillgång till uppgifterna.

 

Tidigare publicerat i Affärsstaden 04 – 2019

Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB

Jessica Tornberg

Tillbaka till krönikor