Nu har det snart gått ett år sedan de sista förberedelserna inför den nya datalagringslagen utspelade sig. Myndighetspersonal och företagare, men också många privatpersoner oroade sig över GDPR. Hade man verkligen koll? Hur mycket behövde man ändra i sina rutiner?
25:e maj kom och gick men rubrikerna lät sig väntas på. Så en dag i höstas kom nyheten: Ett sjukhus i Portugal har fått böter på 400 000 euro för brister i skyddet av patientdata. I Österrike fick ett företag som använt sig av kameraövervakning på allmän plats böta 4 800 euro. Och så i januari – storsmockan: Den franska myndigheten för dataskydd, CNIL gav Google böter på hela 50 miljoner euro, med anledningen att Google bryter mot GDPR.
Enligt CNIL har de inte varit tillräckligt tydliga med information över hur användarnas personliga information samlas in och används, liksom vilken kontroll användarna har över informationen.
I Sverige då? Här har vi varit förskonade från rubriker och det har varit tyst länge. Datainspektionen har precis publicerat den första sammanställningen av vad som hänt sedan GDPR-lagen trädde i kraft.
I rapporten kan man läsa att under perioden 25 maj–31 december 2018 inkom 2262 personuppgifts-incidenter till Datainspektionen. Den absoluta merparten av anmälningar gjordes utifrån GDPR, färre än tio anmälningar gjordes utifrån brottsdatalagen. Vad betyder då detta? Tja, det kan både betyda att det är brister i säkerheten men också att det faktiskt nu finns rutiner för att upptäcka – och anmäla – brister. Själva incidenterna kan delas in i fyra grupper:
- Felaktiga brevutskick (42 %): brev eller e-post som innehåller personuppgifter och som oavsiktligt hamnat hos fel mottagare.
- Obehörig åtkomst (23 %): Någon har olovligen skaffat sig tillgång till personuppgifter eller så har man upptäckt att personuppgifter funnits tillgängliga på en gemensam lagringsyta utan behörighetsstyrning.
- Obehörigt röjande (20 %): Personuppgiftsansvarig eller någon någon under dennes ledning har hanterat personuppgifter så att de kommit till obehörigas kännedom.
- Stöld, förlust och phishing m.m. (15 %): Om man haft inbrott eller slarvat bort datorer alternativt har blivit utsatt för ett så kallat antagonistiskt intrång genom exempelvis phishing eller hacking.
I sex av tio fall står den mänskliga faktorn bakom incidenten; någon har begått misstag när man hanterat personuppgifter helt enkelt. I ett fall av tio handlar det om brister i rutiner eller processer.
Än så länge har man avslutat cirka 600 av de inkomna ärendena och merparten utan någon vidare åtgärd, med andra ord inga böter. Ingen tillsyn inleddes heller 2018. Ungefär 100 ärenden bedöms som mer allvarliga incidenter, som man därför fortfarande handlägger.
5 rekommendationer från Datainspektionen: Så här förebygger du incidenter
- Kontrollera alltid att mottagaren är korrekt när du mejlar.
- Använd funktionen dold kopia (bcc) vid utskick med flera mottagare.
- Använd e-post som är skyddad med kryptering vid utskick av känsliga uppgifter.
- Kryptera personuppgifter som lagras på flyttbara media (usb-minnen, mobiltelefoner, bärbara datorer).
- Påminn om att inte öppna länkar eller bifogade filer från okända avsändare.
Källor: Anmälda personuppgiftsincidenter 2018, Datainspektionens rapport 2019:1, ”Stora GDPR-skräcken – så gick det, Driva-eget.se, ”Google straffas med GDPR-böter på halv miljard i Frankrike”, Breakit.se