Datainspektionens senaste rapport om personuppgiftsincidenter visar att de flesta anmälningarna om personuppgiftsincidenter avser att brev eller e-post skickats till fel mottagare. Den vanligaste orsaken till personuppgiftsincidenter är den mänskliga faktorn.
Efter att den nya dataskyddsförordningen GDPR infördes år 2018 har verksamheter som behandlar personuppgifter en skyldighet att rapportera vissa typer av personuppgiftsincidenter till Datainspektionen. Nu har Datainspektionen gjort en översikt över de anmälningar av personuppgiftsincidenter som har gjorts mellan den 1 januari och 30 september 2019.
En personuppgiftsincident är en säkerhetsincident som rör personuppgifter. Det kan till exempel handla om att personuppgifter blivit förstörda, ändrade eller kommit i orätta händer genom att de mejlats till fel person eller genom att tjänstedatorer blivit stulna vid inbrott. Det spelar ingen roll om incidenten skett med avsikt eller av misstag.
Datainspektionen konstaterar att antalet anmälda personuppgiftsincidenter ökat under de nio första månaderna av 2019. Det gjordes 3 410 anmälningar under denna period. Detta innebär att antalet anmälda incidenter har ökat med ungefär 30 procent under 2019 jämfört med 2018. Det har även skett vissa förändringar i typen av incidenter som anmäls. Till exempel har antalet incidenter som rör felskickade brev minskat, vilket tros bero på att den överrapportering, som tidigare varit vanlig, har minskat.
Datainspektionen bedömer att skälet för att anmälningarna ökat och vad som anmäls till viss del förändrats är att medvetenheten och kunskapen om skyldigheten att anmäla personuppgiftsincidenter och när det ska göras har ökat, men tror att det fortfarande finns ett stort mörkertal i form av anmälningspliktiga incidenter som inte anmälts.
Den offentliga sektorn stod för nästan två tredjedelar av alla anmälningar under 2019. Det höga antalet anmälningar behöver inte bero på bristande säkerhet, utan kan bero på att det finns rutiner som gör det enkelt att upptäcka och rapportera personuppgiftsincidenter.
Den vanligaste typen av incident är fortfarande att brev eller e-post skickas fel, följt av ”obehörig åtkomst,” det vill säga att någon får tillgång till personuppgifter utan att ha behörighet för det.
Den vanligaste anledningen till incidenter är den mänskliga faktorn, ofta i form av att personer begår ett misstag när de hanterar personuppgifter. Andra skäl för att incidenter sker är tekniska fel, antagonistiska angrepp genom exempelvis nätfiskeattacker och brister i verksamheters rutiner.
Datainspektionen betonar att alla organisationer som hanterar personuppgifter behöver ha rutiner för att upptäcka och anmäla incidenter. Vikten av att ha styrdokument och löpande utbildning understryks också. Det rekommenderas bland annat att ha rutiner för att alltid kontrollera att rätt mottagare är angiven innan brev och e-post skickas.
Vill du veta mer om vad som hänt sedan GDPR trädde i kraft?
Ta del av vår e-learningkurs och färdigställ ditt GDPR-arbete i företaget – nu till kampanjpris!
Till kursen GDPR: ett år senare
__________________________________
Författare: Anna Nässbjer, Allt om Juridik
Källa: Blendow Lexnova
Rapport: Datainspektionens rapport 2019:3
Foto: Magnus Hjalmarson Neideman / SvD / TT