Vilka är de vanligaste personuppgifts-incidenterna?

Svaret hittar vi i Datainspektionens rapport som beskriver anmälda personuppgiftsincidenter under 2019.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som exempelvis inträffat när personuppgifter om en eller flera registrerade personer har förstörts, förlorats eller kommit i orätta händer. Det kan t ex vara fallet om ett företag råkar ut för ett dataintrång eller om en anställd på företaget skickar personuppgifter till fel mottagare. Det spelar ingen roll om incidenten har skett avsiktligt eller oavsiktligt för att den ska klassificeras som en personuppgiftsincident.

Behöver man anmäla alla personuppgiftsincidenter till Datainspektionen?

Nej, om det är osannolikt att personuppgiftsincidenten skulle medföra en risk för de registrerades fri- och rättigheter behöver du inte anmäla incidenten till Datainspektionen. Det är inte alltid lätt att veta om det finns någon risk för de registrerade och i så fall hur stor den risken är när man tar beslut om incidenten ska anmälas eller inte. Det viktigaste i sammanhanget är att du dokumenterar de avvägningar som ligger till grund för ditt beslut så att du enkelt kan redovisa ditt resonemang vid ett ev. tillsynsärende eller intern revision. Tänk på att de registrerades rättigheter ska vara i fokus när du tar beslutet.

Om personuppgiftsincidenten innebär en hög risk för registrerades fri- och rättigheter har du en skyldighet att informera de berörda individerna direkt, t ex när det finns en överhängande risk för ID-stölder eller om kortuppgifter har läckt ut.

Hur stor del av personuppgiftsincidenterna som anmäls till Datainspektionen sker inom handeln?

Under 2019 fick Datainspektionen in totalt drygt 4 800 anmälningar om personuppgiftsincidenter. Rapporten visar att det finns ganska stora skillnader mellan olika samhällssektorer när det gäller vilka incidenter som anmäls och orsakerna till dem. Av ovan nämnda anmälningar står Näringslivet i övrigt för 17 %. Det kan jämföras med 61 % som kommer från Offentlig sektor eller verksamheter med offentligt uppdrag (hälso- och sjukvård, kommun, skola eller socialtjänst) där det behandlas mycket känsliga personuppgifter som medför anmälningsskyldighet.

Inom Näringslivet i övrigt är den vanligast förekommande incidenten som anmäls obehörig åtkomst. Detta beror troligtvis på att verksamheterna inom den här sektorn behandlar mycket av personuppgifterna i interna system eller digitala lösningar. Av de incidenter som anmäls uppges närmare hälften, 46 %, bero på ett antagonistiskt angrepp. Med antagonistiska angrepp avses t ex it-angrepp som kan bestå av olika former av dataintrång.

Vad ska ni som företag tänka på när det gäller personuppgiftsincidenter?

  • Se till att alla inom er organisation vet vad en personuppgift är och hur man ska agera när en personuppgiftsincident inträffar.
  • Ha interna rutiner som gör det enkelt att upptäcka och hantera personuppgiftsincidenter inom de tidsgränserna som anges i GDPR.
  • Ha interna rutiner för att dokumentera alla personuppgiftsincidenter, även de som inte måste anmälas till Datainspektionen. Vid en eventuell granskning kan ni då visa vilka bedömningar som låg till grund för beslutet att inte anmäla incidenten.
  • Se till att rutinerna innehåller en tydlig rollfördelning för hantering av personuppgifts-incidenter så att ni kan säkerställa en effektiv hantering av incidenten, t ex vem är ansvarig för att sammankalla övriga i teamet, vem har ansvar för att dokumentera och ev. anmäla incidenten till Datainspektionen och i vilka fall ska ni ta in experthjälp.

Saknar ni rutiner för att hantera personuppgiftsincidenter? Kontakta Svensk Handel Juridik.

Nyhetsbrev

Varje månad skickar vi relevant och intressant information inom e-handel. Plus information om aktuella event, frukostmöten och andra tillfällen där branschen samlas. Starta din prenumeration idag!