Datainspektionen gav den 10 mars ut sin rapport om anmälda personuppgiftsincidenter under år 2019. Rapporten summerar 2019 med att det är en ökning av rapporterade incidenter, men att ökningen framförallt har skett i offentlig sektor.
Den vanligaste incidenten är felskickade brev eller email och en annan vanlig incident är obehörig åtkomst eller obehörigt röjande. Den vanligaste orsaken är den mänskliga faktorn.
Datainspektionen lämnar också en rad rekommendationer baserat på de incidenter som anmälts.
- Se över rutiner för att upptäcka, dokumentera, anmäla och hantera personuppgiftsincidenter. Speciellt företag utan dataskyddsombud bör se över att sådana rutiner finns på plats då Datainspektionen noterat att det bland dessa företag saknas rutiner i större utsträckning.
- Säkra att medarbetare får löpande utbildning i dataskydd och informationssäkerhetsarbete. Informera regelbundet om:
- Att alltid kontrollera att det är rätt mottagare av epost eller brev, att använda funktionen dold kopia och använda sig av kryptering vid behov.
- Att information som lagras på flyttbara medier som är särskilt sårbara för stöld eller förlust bör krypteras.
- Att inte öppna länkar eller filer från okända avsändare.
- Säkra tilldelning av behörighet, följ upp den löpande och gör åtkomstkontroller.
- Använda incidenter för att identifiera brister och utvecklingsbehov för det systematiska arbetet med dataskydd och informationssäkerhet.
Advokatbyrån rekommenderar därför att en inventering sker av personuppgiftsincidenter för att kartlägga behovet av åtgärder samt att rutinen för incidenthantering ses över och uppdateras vid behov. Advokatbyrån kan även bistå i detta arbete.
Datainspektionens fullständiga rapport finns på https://www.datainspektionen.se/globalassets/dokument/rapporter/anmalda-personuppgiftsincidenter-2019.pdf