2 258 personuppgiftsincidenter rapporterade under 2018

2019-03-08
Datainspektionen har lämnat en rapport över hur många personuppgiftsincidenter som anmälts till myndigheten under förra året sedan dataskyddsförordningen trädde i kraft. Under perioden har 2 258 incidenter anmälts med stöd av dataskyddsförordningen.

Varifrån kommer rapporterna?

Ungefär 44 % av incidenterna kommer från näringslivet och 46 % av incidenterna kommer från offentlig sektor. 10 % av incidenterna hänför sig till föreningar eller andra verksamhetsområden.  Det kan alltså konstateras att det rapporteras ungefär lika mycket från privat sektor som från den offentliga. Den finansiella sektorn sticker emellertid ut och står för 25 % av de rapporterade incidenterna.

Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte nödvändigtvis vara en indikation på bristande säkerhet. I vissa fall kan det tvärtom tyda på att verksamheten har strukturer och rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.

 Vad är det som händer?

62 % av incidenterna består av att någon obehörigen röjer personuppgifterna. Den absolut vanligaste personuppgiftsincidenten består av felaktiga brev eller e-postutskick som innehåller personuppgifter och som oavsiktligt hamnar hos fel mottagare (42 %). Andra former av obehörigt röjande kan vara att en stor mängd mottagare av ett e-postmeddelande med känslig information kunnat se vilka andra som fått samma e-postmeddelande.  Obehörig åtkomst är den näst största kategorin av händelser som står för 23 % av rapporterna.  Denna kategori handlar om att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt. Stöld förlust och phising, händelser som till exempel att tjänstedatorer glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för ett antagonistiskt angrepp genom till exempel phishing, malware eller hacking står för 13 % av incidenterna.

Varför händer det?

Drygt 60 % av de anmälda personuppgiftsincidenterna beror i huvudsak av att individer begått misstag vid hantering av personuppgifter i sina verksamheter. Majoriteten handlar om felskickade brev och e-postmeddelanden. 14 % eller cirka 300 av incidenterna handlar om antagonistiska angrepp, primärt stölder och phising. 8 % handlar om brister i organisatoriska rutiner och processer. 

Allvarligt eller inte allvarligt?

Cirka 100 av de rapporterade incidenterna ansågs av Datainspektionen vara mer allvarliga.  Många rapporter handlade om felaktiga e-postutskick. Om ett felskickat brev eller e-post endast innehåller kontaktuppgifter till en eller mycket få registrerade och ingen känslig information röjs, är det typiskt sett inte nödvändigt att anmäla incidenten till Datainspektionen. 

Hur kan vi förebygga incidenter?

  • Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, att använda funktionen dold kopia (bcc) vid utskick som ska till flera mottagare samt att använda e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
  • Kryptera flyttbar media som till exempel usb-minnen om de innehåller personuppgifter.
  • Öppna inte länkar eller bifogade filer från okända avsändare.
  • Ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
  • Styrdokument och tekniska informationssäkerhetsåtgärder bör kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.

 

Hur kan Certezza hjälpa er?

Certezza kan hjälpa till med kryptering, säker e-post, åtkomstkontroll, styrdokument, dataskyddsombud, säkerhetsgranskningar, utbildning och dataskyddsrevision.

Kontakt sales@certezza.net

Läs mer:

https://www.datainspektionen.se/globalassets/dokument/rapporter/anmalda-personuppgiftsincidenter-2018.pdf