I början av förra året upptäcktes ett säkerhetshål i Primula som sköter lönehanteringen för runt 280 000 anställda på ett 40-tal svenska myndigheter. Hålet gjorde det möjligt att komma åt personuppgifter både från de myndigheter som anlitar servicecentret för sin lönehantering och personuppgifter som rörde servicecentrets egen personal.

Det hela ledde till att Statens Servicecenter gjorde en incidentrapport den 28 mars förra året. Däremot dröjde det ända till den 25 juni innan personuppgiftsincidenten anmäldes till Datainspektionen – något som enligt dataskyddsförordningen GDPR ska ske inom 72 timmar.

Fick veta först efter fem månader

Och de myndigheter som använder lönesystemet fick inte veta något förrän runt fem månader efter det inträffat – något som enligt Datainspektionen inte kan räknas som ”utan onödigt dröjsmål” som är det som GDPR föreskriver.

I september meddelade Datainspektionen att man inledde en tillsyn som nu är klar. 

Elin Hallström är den som lett granskningen och hon framhåller att det är viktigt att personuppgiftsansvariga blir informerade och kan anmäla sådana här incidenter till tillsynsmyndigheten det vill säga Datainspektionen.

Kan behöva informera enskilda

Dessutom är det viktigt att de personuppgiftsansvariga kan vidta andra åtgärder för att minska skador för enskilda till följd av incidenter exempelvis ge instruktioner till sitt personuppgiftsbiträde om att åtgärda säkerhetsbrister. I vissa fall kan den personuppgiftsansvarige också behöva informera de enskilda om vad som har hänt.

– Det sticker ut att det dröjer så här länge. Och det är också speciellt att det här rör ett personuppgiftsbiträde som ju fått utökade skyldigheter i GDPR. Nu visar vi att de verkligen har de här skyldigheterna, säger hon.

Totalt handlar det om att 280 000 personer som har sina uppgifter i det berörda systemet utsatts för risken att få personuppgifter röjda enligt Datainspektionen.

Det senfärdiga agerandet leder till att Datainspektionen utfärdar en sanktionsavgift på 200 000 kronor mot Statens servicecenter som nu har tre veckor på sig att överklaga.

Läs också:
Nu ska Datainspektionen granska hacket mot statens lönesystem
Datainspektionen utfärdar sanktionsavgift mot Google – som planerar överklaga