Personuppgiftsincidenter – vad ska vi tänka på?
En personuppgiftsincident är en säkerhetsincident av något slag som involverar personuppgifter, till exempel att personuppgifter förstörs, ändras eller kommer i orätta händer. Det kan vara fråga om personuppgifter som läcker på grund av ett dataintrång, personuppgifter som finns på en dator som blir stulen eller personuppgifter som skickas fel.
Kraven i GDPR innebär dels att den som är personuppgiftsansvarig kan behöva anmäla incidenten till behörig tillsynsmyndighet och i vissa fall även informera den registrerade som berörs av incidenten. Om en incident sker hos ett personuppgiftsbiträde ska biträdet alltid utan onödigt dröjsmål informera den personuppgiftsansvarige om vad som hänt. Vidare ska omständigheterna kring och hanteringen av incidenten alltid dokumenteras. Om en personuppgiftsansvarig eller ett personuppgiftsbiträde brister i hanteringen av en personuppgiftsincident kan aktören bli föremål för sanktionsavgift på upp till 2 % av den totala globala årsomsättningen, dock maximalt 10 000 000 euro.
I Datainspektionens rapport om personuppgiftsincidenter under 2018, angavs att 2258 anmälningar om personuppgiftsincidenter enligt GDPR inkom till Datainspektionen under perioden 25 maj-31 december 2018. En del av dessa anmälningar har Datainspektionen ansett varit onödiga, eftersom Datainspektionen i dessa fall bedömt att det varit osannolikt att incidenten medfört en risk för fysiska personers fri- och rättigheter. Merparten av incidenterna har dock bedömts vara sådana som ska anmälas.
Det sker alltså många personuppgiftsincidenter, vilket inte är så konstigt med tanke på att det kan vara fråga om både tekniska fel och organisatoriska problem som ger upphov till eller orsakar en personuppgiftsincident. Vad som är intressant är att hela 61 % av de inträffade personuppgiftsincidenterna mellan 25 maj- 31 december berodde på mänskliga faktorn. 61 % av de inträffade incidenterna 2018 berodde alltså på att människor i organisationen gjort misstag eller fel.
Att personuppgiftsincidenter i vissa fall ska anmälas och kommuniceras till de registrerade känner de flesta till. Men går det att även jobba aktivt med att förhindra personuppgiftsincidenters inträffande, så att anmälningar till Datainspektionen istället kan undvikas helt?
Det kan alltid vara svårt att värja sig från hot eller incidenter som beror på faktorer utom organisationens kontroll, som till exempel ett strömavbrott som gör personuppgifter otillgängliga. Incidenter som beror på den mänskliga faktorn inom organisationen däremot, bör kunna minskas om man förbereder organisationen på ett korrekt sätt.
Så hur ska man göra då? Naturligtvis är det viktigt att ha gjort bra arbete med informationssäkerhet. En annan nyckelåtgärd är utbildning och tydliga rutiner kring hur personuppgifter ska hanteras. Det är viktigt att alla i en organisation är medvetna om hur personuppgifter får hanteras i olika situationer. Viktigt är även att dessa rutiner är anpassade för verksamheten. Det räcker inte att bara skriva att personuppgifter ska behandlas på ett säkert sätt, och att personuppgifter endast får behandlas om det finns en laglig grund. Rutiner måste vara verksamhetsspecifika, lättillgängliga och konkreta, så att de kan användas i det dagliga arbetet av de anställda.
Verksamhetens rutiner kan med fördel därför även kompletteras med checklistor eller liknande dokumentation, som den anställde kan använda i det dagliga arbetet.
Datainspektionen rekommenderar att bland annat följande åtgärder vidtas av aktörer som behandlar personuppgifter:
- att alltid kontrollera om korrekt mottagare är angiven innan ett brev eller mail går ut;
- att kryptera utskick som kan innehålla känsliga eller integritetskänsliga personuppgifter, samt att kryptera flyttbara media som är särskilt sårbara för stöld eller förlust – till exempel USB-minnen, bärbara datorer och mobiltelefoner;
- att ha tydliga rutiner kring hur mail, länkar eller bifogade filer från okända avsändare ska hanteras; och
- att skapa stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs löpande.