I och med dataskyddsförordningen (GDPR) så blir personuppgiftsincidenter mer synliga och inte minst börjar de bli ekonomiskt kännbara. Det är inte längre bara förlust av goodwill utan tillsynsmyndighetens möjlighet att påföra sanktionsavgifter ger saken ett större allvar. Det gör också att det mediala intresset för incidenterna har ökat.
Först ut är Skellefteå kommun som i ett litet pilotprojekt under några veckors tid automatiserade närvarokontrollen genom ansiktsigenkänning. Datainspektionens granskning konstaterar att gymnasienämnden i Skellefteå har hanterat känsliga personuppgifter i strid med dataskyddsförordningen och har beslutat om en sanktionsavgift på 200.000 SEK.
Det är ytterst tveksamt om denna händelse hade fått någon större uppmärksamhet med gamla personuppgiftslagen (PuL) som grund. Det är ännu mer tveksamt om det ens hade blivit ett granskningsärende och sannolikt hade personuppgiftsbehandlingen inte ens varit olaglig (se RÅ 2008:83), då biometriska personuppgifter inte var utpekat som en särskild kategori av personuppgifter och samtycke var tillräckligt.
Granskningsärendet av Skellefteå kommun är i sig ett ganska enkelt och tydligt ärende. Det kommer absolut att bli normerande, även om inte Skellefteå kommun överklagar. Precis på samma sätt som ett tillsynsärenden från 2006 i Nynäshamns kommun där det konstaterades att åtkomst till känsliga personuppgifter över öppna nät ska föregås av stark autentisering.
Datainspektionen har i skrivande stund ett antal mer kryddstarka ärenden på sitt bord. Ärenden som är väldigt komplexa och med mångfalt fler än 22 personer som omfattas av behandlingen. Det faktum att det är flera led med biträden gör några av dem extra intressanta. Exempelvis 1177-läckan. Där blir det också intressant att se hur Datainspektionen ser på sanktionsavgifter i förhållande till slarviga personuppgiftsbiträden. Möjligheten finns, och det skulle sannolikt ge effekter som gör att personuppgiftsbiträden skärper sig, och i många fall rejält! Det är väldigt välbehövlig.
Jag har skrivit om det flera gånger förr. Det är genom andras och egna misstag vi ständigt förbättrar oss. Det faktum att minnet för överträdelser av regelverk och incidenter tenderar att blekna snabbt är bekymmersamt och att det inte får några större avtryck är än mer oroande. Jag hoppas att de tillsynsärenden som inom kort kommer att tillkännages är en vändpunkt.
Innovationslusten i Skellefteå och på andra platser får inte kvävas. Tvärt om, det är med en ökande innovationslust som vi kan dra fördel av alla de möjligheter som digitaliseringen ger. Däremot får det inte ske på bekostnad av den personliga integriteten och överträdelser av regelverk utan även de perspektiven behöver tidigt finnas på agendan. I exemplet Skellefteå kommun hade behandlingen inte föranletts av en regelrätt konsekvensbedömning. Det är en svår balansgång och det borde det vara. Hur skulle det se ut om de regulatoriska kraven är valbara.
Vill ni frisk upp minnet?
https://cert.se/ listar IT-incidenter och kända sårbarheter.
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Thomas Nilsson
