Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Första GDPR-rapporten

Efter första året med GDPR visar Datainspektionens rapport om anmälda personuppgiftsincidenter på en gemensam säkerhetsrisk i alla organisationer. Av de 2 262 anmälningar som gjorts ligger den mänskliga faktorn bakom mer än 60 procent.

Text anne hammarskjöld Foto adobestock 5 mars 2019 säkerhet

myller-av-ansikten.jpg

Samtidigt med GDPR infördes en skyldighet för organisationer som behandlar personuppgifter att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Sedan den 1 augusti har brottsbekämpande myndigheter motsvarande anmälningsskyldighet.

Anmälningsskyldigheten höjde kraven på alla verksamheter att ha rutiner på plats för att kunna upptäcka, rapportera och utreda incidenter. Målet är att höja integritetsskyddet. Datainspektionens rapport för perioden 25 maj-31 december 2018 visar att den absoluta merparten anmälningar gjordes utifrån GDPR, färre än tio gjordes utifrån brottsdatalagen.

Försäkringsbranschen i topp

En anmäld incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En sådan händelse kan innebära risker för identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.

Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte vara en indikation på bristande säkerhet enligt rapporten. I vissa fall kan det tvärtom tyda på att verksamheten har rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.

  • En fjärdedel av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen.
  • Myndigheter och kommuner står tillsammans för 23 procent av anmälningarna, det vill säga ungefär en fjärdedel.
  • Anmälningar från hälso- och sjukvård, skola och socialtjänst utgör tillsammans 23 procent.
  • Därutöver står näringslivet i övrigt för 19 procent.

Vanliga incidenter

Den största delen anmälda incidenter, 42 procent, avser obehörigt röjande i form av felaktiga brevutskick, det vill säga brev eller e-post som innehåller personuppgifter och oavsiktligt hamnat hos fel mottagare.

För omkring 100 incidenter gör Datainspektionen en fördjupad bedömning.

Datainspektionen

Obehörig åtkomst är den näst största kategorin och står för 23 procent. Här är ett vanligt exempel att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt.

Obehörigt röjande rör 20 procent av anmälningarna och innebär att personuppgifter kommit till obehörigas kännedom. Till exempel har mottagare av ett e-postmeddelande med känslig information kunnat se hela sändlistan.

Kategorierna stöld, förlust och phishing omfattar 13 procent av de anmälda incidenterna. Några exempel är tjänstedatorer som glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för phishing, malware eller hacking. Även om dessa incidenter är förhållandevis få berör de större grupper av registrerade.

Vanliga orsaker

Drygt sextio procent av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn. Vanliga orsaker är att individer gjort misstag vid hantering av personuppgifter och det handlar i första hand om felskickade brev och e-postmeddelanden.

Öppna inte länkar eller bifogade filer från okända avsändare.

Datainspektionen

Antagonistiska angrepp står för ungefär var sjunde anmälan. Totalt handlar det om drygt 300 av de anmälda incidenterna som primärt rör stölder och phishing.

Närmare en av tio anmälningar handlar också om brister i organisatoriska rutiner eller processer.

Datainspektionens rekommendationer

Utifrån de anmälningar som gjorts ger Datainspektionen några generella rekommendationer som kan bidra till att förebygga incidenter och mildra konsekvenserna om något ändå inträffar.

  • Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, använd funktionen dold kopia, bcc, vid utskick till flera mottagare, samt använd e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
  • Kryptera personuppgifter som lagras på usb-minnen, bärbara datorer eller andra flyttbara media som lätta att stjäla eller tappa bort.
  • Påminn medarbetarna om att inte öppna länkar eller bifogade filer från okända avsändare.
  • En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
  • Datainspektionen betonar att den stora andelen incidenter som uppges bero på den mänskliga faktorn bekräftar betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.

Merparten utan åtgärd

Datainspektionen bedömer att merparten av de incidentanmälningar som inkommit under 2018 kommer att avslutas utan ytterligare åtgärd. Hittills gäller det cirka 600 anmälningar.  

För de omkring 100 incidenter som bedöms som mer allvarliga gör Datainspektionen en fördjupad bedömning och handläggningen pågår.

Senaste nytt

Gratis busstrafik

22 januari 2021

Just nu testkörs två självkörande minibussar i Göteborgs kollektivtrafik. Bussarna är gratis att åka med och det går att söka dem i apparna Västtrafik To Go och Parkering Göteborg. 

Säkerhet för 500 mdr

21 januari 2021

De globala investeringarna i cybersäkerhet kommer att öka med 10 procent under 2021. Det beror på att utbudet av hot breddas och nya sårbarheter dyker upp, samtidigt som attackfrekvensen lär fortsätta öka.

Kvantdator fixar flygrutt

21 januari 2021

Att låta en kvantdator lägga flygrutter skulle spara enorma mängder tid. Nu är forskare vid Chalmers tekniska högskola en lösning på spåren.

Fem hållbara tips

21 januari 2021

Den 24 januari är det Circular Electronics Day. När fler och fler företag och organisationer ansluter sig till TCO Developments initiativ passar organisationen som delar ut hållbarhetscertifieringar på att tipsa om hur alla kan bidra till en mer cirkulär it-hantering. 

Sveriges 5G-vinnare

20 januari 2021

Auktionerna för de olika GHz-banden i 5G-näten är nu avslutad och det blir fyra aktörer som delar på det tilldelade utrymmet. Men fortfarande är Huaweis roll i utvecklingen av det svenska 5G-nätet oklar.

Digitala kramar

20 januari 2021

Pandemi och restriktioner gör att vi inte kan ses och kramas i samma utsträckning som tidigare. Men enligt forskning kan en digital kram ge liknande effekter som en verklig.