Personuppgiftsincidenter – vad har hänt?
Personuppgiftsincidenter får allt mer uppmärksamhet i media, både i Sverige och runt om i Europa. Datainspektionen publicerade i dagarna en rapport om anmälda personuppgiftsincidenter mellan perioden januari och september i år. Rapporten visar en påtaglig ökning i anmälda incidenter under de första nio månaderna 2019 jämfört med 2018. Närmare 90 incidenter per vecka har anmälts mellan januari till september 2019 jämfört med cirka 70 incidenter under maj till december 2018.
Offentlig sektor eller aktörer med offentligt uppdrag står för nästan två tredjedelar av alla anmälningar under 2019. Ökningen av anmälningar från offentlig sektor bedöms bero på att rutiner blivit mer etablerade, att verksamheter inom offentlig sektor ofta behandlar känsliga personuppgifter och att personuppgifter i stor mängd behandlas, vilket påverkar riskbedömningen som görs för att bestämma om incidenten ska anmälas eller inte. Media är en annan faktor som Datainspektionen bedömer har bidragit till ökad medvetenhet och anmälningsbenägenhet. Den händelse som har lett till flest anmälda personuppgiftsincidenter är felaktiga brevutskick. Därefter kommer obehörig åtkomst till personuppgifter, t.ex. genom phishingattacker.
I rapporten konstaterar Datainspektionen även att viss överrapportering har skett och fortfarande sker även om den minskat under 2019 jämfört med 2018.
I Europa
I Europa finns flera uppmärksammade incidenter, en av de mest uppmärksammade incidenterna är säkerhetsbristen på British Airways hemsida, för vilken den brittiska tillsynsmyndigheten ICO lämnat ett förslag om hela 183 390 000 pund i böter. Säkerhetsbristen på hemsidan gjorde att 500 000 besökare på British Airways hemsida omdirigerades till en falsk kopia av hemsidan, där besökarnas personuppgifter kunde samlas in av de som skapat den falska sidan. Förutom det föreslagna bötesbeloppet har även de drabbade fått klartecken att gå vidare med en grupptalan mot British Airways.
En annan incident rör Hotellkedjan Marriot som på grund av läckta gästlistor, föreslås få böter om 99 200 396 pund. Incidenten berörde 339 miljoner gäster. Vad som är extra intressant i detta fall är att säkerhetsbristen som orsakade personuppgiftsincidenten tros ha funnits hos ett bolag som Marriot tidigare köpt. Detta visar tydligt hur viktigt det är att göra en ordentlig kontroll av bolag som eventuellt ska köpas och senare integreras i den egna verksamheten.
I Sverige har Datainspektionen ännu inte bötfällt någon aktör med anledning av en personuppgiftsincident men Datainspektionen jobbar aktivt med att granska de anmälningar som kommer in.
Datainspektionens arbete med personuppgiftsincidenter
När en incident rapporteras in till Datainspektionen gör de en första bedömning. Denna första bedömning gäller hur allvarlig incidenten är, hur incidenten hanterats och om anmälan är fullständig eller om den ska kompletteras.
I de fall som risken för individerna bedöms vara låg, incidenten hanterats på ett tillfredsställande sätt och anmälan inte ska kompletteras, brukar Datainspektionen avsluta ärendet. Datainspektionens bedömning är att den stora merparten av de incidentanmälningar som inkommit under 2019 kommer att avslutas utan ytterligare åtgärder. Hittills har cirka 60 procent av samtliga anmälningar som inkommit sedan den 25 maj 2018 avslutats utan ytterligare åtgärder. När en aktör anmäler ett större antal incidenter som Datainspektionen bedömer inte är anmälningspliktiga kontaktar myndigheten den aktuella aktören för att ge vägledning kring anmälningsskyldigheten.
I de fall Datainspektionen bedömer att incidenten är särskilt allvarlig kan de göra en fördjupad bedömning. Myndigheten kan inleda tillsyn baserat på hanteringen av incidenten och anmälan, men kan även inleda tillsyn utifrån de brister som incidenten kan visa att den personuppgiftsansvarige har. Just nu pågår ett tiotal tillsynsärenden som har inletts på grund av anmälda personuppgiftsincidenter. Datainspektionen har också två pågående tillsynsärenden som fokuserar på de generella rutinerna för incidenthantering, men där tillsynsärendet inte har inletts utifrån en specifik personuppgiftsincident som anmälts. Datainspektionen granskar även en misstänkt personuppgiftsincident som Datainspektionen fick kännedom om genom ett klagomål.
Inom ramen för Datainspektionens samarbete med andra dataskyddsmyndigheter inom EU pågår ett arbete med en fördjupad vägledning kring personuppgiftsincidenter. När denna fördjupade vägledning är klar vet vi inte ännu. Datainspektionen jobbar även med en e-tjänst för anmälan av personuppgiftsincidenter digitalt. Målsättningen är att denna tjänst ska finnas tillgänglig i början av 2020.
Datainspektionen betonar i sin rapport vikten av att förbereda sig genom att ha styrdokument och ha vidtagit tekniska informationssäkerhetsåtgärder på förhand. En del i sådant arbete är att all personal måste veta vad en personuppgiftsincident kan vara och hur denna ska hanteras internt. Upptäcks inte incidenten kan heller inte den personuppgiftsansvarige hantera den på rätt sätt. Naturligtvis är det viktigt att därefter ha en tydlig plan för att snabbt och effektivt hantera en personuppgiftsincident – vidta korrigerande åtgärder, dokumentera beslut etc.