AMES 1
KRÖNIKA Elisabeth Wedenberg Advokat, LL.M. 2021 Å
RS PERSONUPPGIFTSINCIDENTER Tiden går som bekant fort när man har roligt och nu har det snart redan förflutit 4 år sedan GDPR gjorde sitt intåg i våra verksamheter. Jag minns våren 2018 när många blickar skvallrade om ilska, uppgivenhet och frustration över detta nya påhitt. Hur orimligt många kände att det var och hur ouppnåeligt det verkade vara att uppfylla alla dessa krav. En del la sig platt ned med en gång med devisen ”Det är aldrig för sent att ge upp” medan andra ihärdiga som få stretade på i motvind och snöstorm för att göra vad de kunde för att bli kompatibla med de regelverk som omgärdar GDPR. Det var i ärlighetens namn inte många som jag träffade som med glädje såg framemot detta, möjligen med undantag för min egen bransch som fick möjlighet att följa ett nytt regelverk från början och uppleva hur praxis växte fram. Och det är just i den andan som Integritetsskyddsmyndigheten (IMY) nyligen släppte en rapport om statistik för anmälda personuppgiftsincidenter. Kortfattat i vilken omfattning anmäls personuppgiftsincidenter i Sverige och vad är det oftast för incidenter det berör. Vad är då en personuppgiftsincident? Definitionen av en personuppgiftsincident hittar vi i artikel 4.12 i dataskydds förordningen ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de person uppgifter som överförts, lagrats eller på annat sätt behandlats”. Föregående gäller oaktat om detta skett med avsikt eller ej. Personuppgiftsincidenter där det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter ska anmälas till IMY. Personuppgiftsincidenten ska anmälas till IMY utan onödigt dröjsmål och inte senare än 72 timmar från att incidenten upptäcktes. Så hur ser då statistiken ut och var verkar de flesta fallgroparna finnas? Anmälningar till IMY har ökat med 26%, den snabba analysen säger mig att verksamheter runt om i landet sannolikt inte har blivit slarvigare utan blivit bättre på att fånga upp och anmäla de incidenter som sker. Det noteras även i rapporten att offentlig verksamhet har en tendens att överanmäla, det vill säga anmäla när det egentligen inte behövs. Man ser även att det är just offentliga sektorn som står för de flesta anmälningarna, hela 66% medan privata sektorn står för 29% av anmälningarna. Den vanligaste orsaken till en anmälan är att man gjort ett felaktigt brevutskick, det vill säga att man skickar ut e-post, brev och sms med personuppgifter till personer som inte skulle ha del av uppgifterna. På andraplats kommer obehörigt röjande vilket innebär att personer som inte skulle ha del av personuppgifterna ändock erhållit kännedom om dessa exempelvis genom bristfälliga tekniska system. Slutligen på en tredje plats kommer obehörig åtkomst där någon fått tillgång till ett ITsystem med personuppgifter alternativt att man satt åtkomsten alltför generell alternativt spoofing, phishingattacker eller malware. Hela 57% av alla anmälda personuppgifter grundar sig i den mänskliga faktorn. Tittar vi på angrepp utifrån, brister i organisatoriska rutiner, medvetet angrepp och tekniska fel så uppgår de varför sig som högst till 10%, följt av obehörigt röjande och obehörig åtkomst. Ser vi dock enskilt på personuppgiftsincidenter ser statistiken annorlunda ut då antagonistiska angrepp står för den största mängden inrapporterade anmälningar tätt följt av den mänskliga faktorn. Detta kan också vara en produkt av att det är först vid dessa tydliga händelser som näringslivet agerar och anmäler. Receptet är således att fortsätta utbilda personal och upprätthålla ett levande samtal kring GDPR inom organisationen. Därtill att tillse att det finns rutiner och att dessa är en naturlig del av personalens arbete samt att det fortsatt arbetas aktivt med de säkerhetsåtgärder som krävs för att upprätthålla en god ITmiljö. ® 30