När den nya dataskyddsförordningen GDPR infördes den 25 maj förra året blev det obligatoriskt för företag och myndigheter att anmäla personuppgiftsincidenter till Datainspektionen inom 72 timmar efter att de upptäckts. Det handlar om säkerhetsincidenter där uppgifterna kan ha förstörts, av misstag eller olagligt, eller röjts för någon som är obehörig.

Och under förra året ökade anmälningstakten till Datainspektionen långsamt men säkert för att vid årsskiftet stabiliseras kring 350–400 i månaden. Det framkom vid konferensen Ett år med dataskyddsreformen där Datainspektionen summerade det gångna året och blickade framåt.

Totalt landade antalet anmälda incidenter på omkring 4 300 i Sverige. Det ligger ungefär i paritet med de andra nordiska länderna. Totalt i EU anmäldes 65 000 incidenter.

Och antalet varierar mycket mellan olika länder. Exempelvis i Nederländerna anmäls 2 000–2 300 incidenter i månaden vilket lägger dem i topp, men de nordiska länderna ligger också relativt högt.

Den finansiella sektorn och det övriga näringslivet står för 20 procent vardera av de rapporterade incidenterna, statliga myndigheter och kommuner för 23 procent tillsammans och hälso- och sjukvården för 10 procent.

Läs också: GDPR: Här är allt du behöver veta om EU:s dataskyddsregler

Men att många incidenter anmäls från en sektor behöver inte betyda att säkerheten där är låg poängterar Alli Abdulla, jurist på Datainspektionen.

– Det kan också betyda att man har en bra förmåga och stabila rutiner för att upptäcka och rapportera incidenter, säger han.

Den vanligaste incidenten är så kallat obehörigt röjande, vilket helt enkelt innebär att personuppgifter röjts som inte borde ha röjts.

Den mänskliga faktorn uppges oftast ligga bakom incidenterna, i 57 procent av fallen. Men det innebär inte nödvändigtvis att människor inte vet vad de gör och att det är utbildning som är svaret konstaterar Alli Abdulla.

Som exempel pekar på den sektor som oftast uppger den mänskliga faktorn som orsak – hälso- och sjukvården.

– Där kan det ofta handla om att någon tittat i fel journal som man inte har behörighet till. Men det är inte säkert att det handlar om att man inte känner till reglerna. Det kan lika gärna handla om ett misstag eller att man varit nyfiken, säger han.

– Då är det inte utbildning som är lösningen utan behörighetsstyrning.

Antagonistiska angrepp är den näst vanligaste incidenten – det handlar om angrepp från hackare eller phishing, men också om sådant som att en dator glömts någonstans eller att företaget haft inbrott.

Den enda verksamhet som anger detta som den största orsaken till incidenter är näringslivet undantaget den finansiella sektorn. De har anmält över 300 sådana incidenter under året.

Alli Abdulla är övertygad om att incidentrapporteringen i sig har en preventiv funktion.

– Bara att den finns gör att verksamheter hanterar incidenter bättre. Inte minst att man är skyldig att informera de registrerade är viktigt eftersom de ofta kan vidta åtgärder som inte de personuppgiftsansvariga kan – som att ändra sina inloggningsuppgifter.

Dessutom hjälper inflödet till att visa vilka utmaningar som olika verksamheter har.

Framåt handlar det mer om att kunna fånga upp dem som inte anmäler incidenter.

– På kort sikt handlar det om att vi skiftar fokus och tar fram vilka kriterier man behöver ta hänsyn till för att bedöma risker. En annan viktig sak är att se hur regelverket hänger ihop. Och nu håller också EU på att uppdatera sina riktlinjer om personuppgiftsincidenter, säger Alla Abdulla.