Personuppgiftsincidenter är säkerhetsincidenter som hänt på myndigheter eller företag där uppgifterna kan ha förstörts, av misstag eller olagligt, eller röjts för någon som är obehörig. Enligt den nya dataskyddsförordningen ska de anmälas inom 72 timmar.
Sedan dataskyddsförordningen kom på plats för fyra månader sedan har runt 1 100 incidenter anmälts till Datainspektionen. Redan en månad efter att lagen införts låg anmälningarna runt 200.
– Det är ingen nedtrappning i tempot. Det är snarare en liten ökning, säger Alli Abdulla, jurist på Datainspektionen.
Han konstaterar att den vanligaste typen av incidenter som anmäls är felaktiga mejl och brevutskick.
– Det handlar om den mänskliga faktorn helt enkelt. Exempelvis att en myndighet avser att skicka handling till A men att B får den i stället så att uppgifterna hamnar i orätta händer.
Hur incidenten sedan bedöms beror på vilken typ av personuppgifter det handlar om. Är det känsliga eller okänsliga uppgifter? Är det krypterat eller okrypterat? Handlar det om uppgifter för en person eller flera tusen? Vad har gjorts för att det inte ska hända igen?
– Vi går igenom incidenterna som kommer in så fort vi kan, sedan hanteras de olika beroende på beskaffenhet, säger Alli Abdulla.
– Felaktiga mejl, som ju alltså är vanligast, är ju väldigt annorlunda jämfört med dataintrång och phishingattacker. Och vi har också annat som stöld av it-utrustning där det finns personuppgifter eller att anställda fått fel behörigheter i system så de ser sådant som de inte borde.
Läs också: Håll ögonen på EPR – nästa EU-smocka efter GDPR
När ärendena kommer in begär Datainspektionen ofta in kompletterande uppgifter för att få en bättre bild av det inträffade. Det kan handla om sådant som att ge information om vilka åtgärder som vidtagits.
– Ibland handlar det mest om att vi ger vägledning och stöd. Eller så kan vi avsluta ärendet om vi anser att det hanterats på ett bra sätt och den felaktiga hanteringen upphört.
Men det finns också ett nästa steg där Datainspektionen kan göra det hela till ett tillsynsärende. Efter en tillsyn har inspektionen möjlighet att allt ifrån förbjuda en viss personuppgiftsbehandling, meddela varningar eller utdela sanktionsavgifter.
– Vi har en stor verktygslåda, en stor bredd, att arbeta med, säger Alli Abdulla.
Han har ingen siffra för hur många incidenter som gått till tillsyn hittills men konstaterar att fleratalet incidenter fortfarande är under beredning och att det begärts in kompletteringar.
Jämfört med andra EU-länder är antalet incidentanmälningar högt även om det inte sticker ut.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
– I Danmark har det anmälts 1 200 incidenter. I Storbritannien 3 300 – men där har man varit skyldig att anmäla incidenter redan före GDPR. Och det finns länder där det bara kommit in ett 20-tal anmälningar också.
Till skillnad från klagomål som kan lämnas in av oss allihop om vi anser att ett företag eller en myndighet brister i sin hantering är det bara den personuppgiftsansvariga som kan göra en incidentanmälan.
– Det händer att privatpersoner fyller i det formuläret, men då hanterar vi det som ett klagomål, säger Alli Abdulla.
