Datainspektionen släppte nyligen en rapport över anmälda personuppgiftsincidenter under 2018. Av de anmälda incidenterna – 2 262 stycken – var en majoritet av dem felaktiga brevutskick orsakade av den mänskliga faktorn. Datainspektionen lämnade i samband med rapporten också ett antal generella rekommendationer för att förebygga incidenter.
Mänskliga faktorn den största orsaken
Under perioden 25 maj-31 december fick Datainspektionen in 2 262 anmälningar från företag, organisationer och myndigheter om att en personuppgiftsincident inträffat. En personuppgiftsincident är en säkerhetsincident som rör personuppgifter, till exempel uppgifter som blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En incident kan innebära risker i form av bland annat identitetsstöld och bedrägeri och ska därför anmälas till Datainspektionen inom 72 timmar från det att den upptäcktes.
Drygt 60 % av de rapporterade incidenterna orsakades av den mänskliga faktorn, det vill säga att någon i sin personuppgiftsbehandling gjort ett handhavandefel. 14 % av incidenterna orsakades av så kallade antagonistiska angrepp, och 10 % orsakades av tekniska fel. Brister i organisatoriska rutiner eller processer stod också för en betydande del av incidenterna – 8 %.
Felaktiga brevutskick var den vanligaste inrapporterade incidenten – 42 % – medan förlust, stöld och phishing stod för 13 % av incidenterna.
Datainspektionens råd
Datainspektionen passade i samband med rapporten på att ge några generella råd om hur man ska behandla personuppgifter på ett säkert sätt och förebygga incidenter samt mildra konsekvenserna om en incident ändå inträffar.
Grundläggande åtgärder är till exempel att alltid kontrollera att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, att använda funktionen dold kopia (bcc) vid utskick som ska till flera mottagare samt att använda e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
Vikten av grundläggande IT-säkerhet poängterades också; kryptera information i mail och på flyttbara media, och öppna inte länkar eller filer som du får per e-post från okända avsändare. Datainspektionen påminde också alla personuppgiftsansvariga om att det sak finnas stabila rutiner på plats för att säkerställa vem som har behörighet till vilken information. Detta ska löpande följas upp och kontrolleras. Att den största delen av personuppgiftsincidenterna orsakats av den mänskliga faktorn understryker också behovet av att organisationerna tar fram tydliga styrdokument och ser till att fortlöpande utbilda personalen.
___________________________________
Författare: Oliver Bucaro, Allt om Juridik
Källa: Datainspektionens rapport 2019:1, Anmälda personuppgiftsincidenter 2018
Foto: Magnus Hjalmarson Neideman / SvD / TT