25 maj 2018 är ett datum som etsat sig fast på många näthinnor hos Europas företag, myndigheter och organisationer. Då börjar den nya dataskyddslagstiftningen att gälla. Till nyheterna hör krav på incidentrapportering. Om något händer, vare sig det är den mänskliga faktor eller angrepp utifrån, som riskerar röja personuppgifter ska det rapporteras till Datainspektionen. Uppgifter som hur det gått till och vem som drabbats ska lämnas in.

Nu varnar dock myndigheten för att det skydd som ska se till att de uppgifterna inte hamnar i orätta händer är för svagt. Och efterlyser starkare sekretess för personuppgiftsincidenter.

– Vi tycker det är oklart hur mycket skydd de uppgifterna besitter. Frågan är till exempel huruvida ingivaren, alltså den som rapporterar incidenten, är skyddad. Det finns ingen vägledning där, säger Hans-Olof Lindblom, chefsjurist på Datainspektionen.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

När en incident rapporteras följer information med om vem det är som drabbats, alltså företaget, myndigheten eller organisationen. Redan den typen av information anser myndigheten kan vara skadlig i fel händer. För vad det hela handlar om är att det finns en farhåga att alltför detaljerad information kan ge hackare och andra kriminella en källa från vilken de kan iscensätta en attack. Bara en lista över företag som har varit utsatta kan öka en redan stark hotbild säger Datainspektionen.

För när en incidentrapport skickats in till myndigheten kan den begäras ut i enlighet med offentlighetsprincipen. Således kan känslig information om uppbyggnaden organisationen it-system ganska lätt hamna i orätta händer.

Datainspektionens chefsjurist får medhåll från andra jurister.

– Vi hade väl trott att det var något som man skulle se över inom ramarna för de utredningar som pågår, bland annat dataskyddsutredningen som presenterades i våras, säger Agnes Hammarstrand, advokat och delägare på advokatbyrån Delphi.

Hon håller med om att så som reglerna är utformade i dagsläget finns en absolut risk att känslig information måste lämnas ut, om någon begär det.

– Vi har förutsatt att lagstiftaren ser till att det är rätt sekretess på de här uppgifterna. Löser man inte det här, då är det ett problem. Det handlar om känslig information, och det kan minska rapporteringsviljan hos företag, trots att de riskerar böter, säger hon.

Läs också: Säkerhetsbolag gör svensk comeback – vill dra nytta av GDPR-febern

Om en aktör som är skyldig att följa den nya dataskyddslagen bryter mot den riskerar de dryga böter, exakt hur det ska utformas är inte fastslaget än. Men om information istället kan skada företaget hamnar de i ett läge där de kanske tvingas välja mellan två onda ting.

Datainspektionen hoppas nu att regeringen ser över den rådande sekretesslagstiftningen utifrån den nya lagen för personuppgifter. Särskilt då det är lagar som är tänkt att förbättra informationssäkerheten, inte tvärt om.