Första GDPR-rapporten
Efter första året med GDPR visar Datainspektionens rapport om anmälda personuppgiftsincidenter på en gemensam säkerhetsrisk i alla organisationer. Av de 2 262 anmälningar som gjorts ligger den mänskliga faktorn bakom mer än 60 procent.
Samtidigt med GDPR infördes en skyldighet för organisationer som behandlar personuppgifter att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Sedan den 1 augusti har brottsbekämpande myndigheter motsvarande anmälningsskyldighet.
Anmälningsskyldigheten höjde kraven på alla verksamheter att ha rutiner på plats för att kunna upptäcka, rapportera och utreda incidenter. Målet är att höja integritetsskyddet. Datainspektionens rapport för perioden 25 maj-31 december 2018 visar att den absoluta merparten anmälningar gjordes utifrån GDPR, färre än tio gjordes utifrån brottsdatalagen.
Försäkringsbranschen i topp
En anmäld incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En sådan händelse kan innebära risker för identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.
Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte vara en indikation på bristande säkerhet enligt rapporten. I vissa fall kan det tvärtom tyda på att verksamheten har rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.
- En fjärdedel av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen.
- Myndigheter och kommuner står tillsammans för 23 procent av anmälningarna, det vill säga ungefär en fjärdedel.
- Anmälningar från hälso- och sjukvård, skola och socialtjänst utgör tillsammans 23 procent.
- Därutöver står näringslivet i övrigt för 19 procent.
Vanliga incidenter
Den största delen anmälda incidenter, 42 procent, avser obehörigt röjande i form av felaktiga brevutskick, det vill säga brev eller e-post som innehåller personuppgifter och oavsiktligt hamnat hos fel mottagare.
För omkring 100 incidenter gör Datainspektionen en fördjupad bedömning.
Datainspektionen
Obehörig åtkomst är den näst största kategorin och står för 23 procent. Här är ett vanligt exempel att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt.
Obehörigt röjande rör 20 procent av anmälningarna och innebär att personuppgifter kommit till obehörigas kännedom. Till exempel har mottagare av ett e-postmeddelande med känslig information kunnat se hela sändlistan.
Kategorierna stöld, förlust och phishing omfattar 13 procent av de anmälda incidenterna. Några exempel är tjänstedatorer som glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för phishing, malware eller hacking. Även om dessa incidenter är förhållandevis få berör de större grupper av registrerade.
Vanliga orsaker
Drygt sextio procent av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn. Vanliga orsaker är att individer gjort misstag vid hantering av personuppgifter och det handlar i första hand om felskickade brev och e-postmeddelanden.
Öppna inte länkar eller bifogade filer från okända avsändare.
Datainspektionen
Antagonistiska angrepp står för ungefär var sjunde anmälan. Totalt handlar det om drygt 300 av de anmälda incidenterna som primärt rör stölder och phishing.
Närmare en av tio anmälningar handlar också om brister i organisatoriska rutiner eller processer.
Datainspektionens rekommendationer
Utifrån de anmälningar som gjorts ger Datainspektionen några generella rekommendationer som kan bidra till att förebygga incidenter och mildra konsekvenserna om något ändå inträffar.
- Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, använd funktionen dold kopia, bcc, vid utskick till flera mottagare, samt använd e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
- Kryptera personuppgifter som lagras på usb-minnen, bärbara datorer eller andra flyttbara media som lätta att stjäla eller tappa bort.
- Påminn medarbetarna om att inte öppna länkar eller bifogade filer från okända avsändare.
- En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
- Datainspektionen betonar att den stora andelen incidenter som uppges bero på den mänskliga faktorn bekräftar betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.
Merparten utan åtgärd
Datainspektionen bedömer att merparten av de incidentanmälningar som inkommit under 2018 kommer att avslutas utan ytterligare åtgärd. Hittills gäller det cirka 600 anmälningar.
För de omkring 100 incidenter som bedöms som mer allvarliga gör Datainspektionen en fördjupad bedömning och handläggningen pågår.
Läs mer om ämnet: