Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Första GDPR-rapporten

Efter första året med GDPR visar Datainspektionens rapport om anmälda personuppgiftsincidenter på en gemensam säkerhetsrisk i alla organisationer. Av de 2 262 anmälningar som gjorts ligger den mänskliga faktorn bakom mer än 60 procent.

Text anne hammarskjöld Foto adobestock 5 mars 2019 säkerhet

myller-av-ansikten.jpg

Samtidigt med GDPR infördes en skyldighet för organisationer som behandlar personuppgifter att rapportera så kallade personuppgiftsincidenter till Datainspektionen. Sedan den 1 augusti har brottsbekämpande myndigheter motsvarande anmälningsskyldighet.

Anmälningsskyldigheten höjde kraven på alla verksamheter att ha rutiner på plats för att kunna upptäcka, rapportera och utreda incidenter. Målet är att höja integritetsskyddet. Datainspektionens rapport för perioden 25 maj-31 december 2018 visar att den absoluta merparten anmälningar gjordes utifrån GDPR, färre än tio gjordes utifrån brottsdatalagen.

Försäkringsbranschen i topp

En anmäld incident kan till exempel handla om att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En sådan händelse kan innebära risker för identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.

Att en organisation eller en bransch anmäler många personuppgiftsincidenter behöver inte vara en indikation på bristande säkerhet enligt rapporten. I vissa fall kan det tvärtom tyda på att verksamheten har rutiner som ger en god förmåga att upptäcka och rapportera personuppgiftsincidenter.

  • En fjärdedel av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen.
  • Myndigheter och kommuner står tillsammans för 23 procent av anmälningarna, det vill säga ungefär en fjärdedel.
  • Anmälningar från hälso- och sjukvård, skola och socialtjänst utgör tillsammans 23 procent.
  • Därutöver står näringslivet i övrigt för 19 procent.

Vanliga incidenter

Den största delen anmälda incidenter, 42 procent, avser obehörigt röjande i form av felaktiga brevutskick, det vill säga brev eller e-post som innehåller personuppgifter och oavsiktligt hamnat hos fel mottagare.

För omkring 100 incidenter gör Datainspektionen en fördjupad bedömning.

Datainspektionen

Obehörig åtkomst är den näst största kategorin och står för 23 procent. Här är ett vanligt exempel att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt.

Obehörigt röjande rör 20 procent av anmälningarna och innebär att personuppgifter kommit till obehörigas kännedom. Till exempel har mottagare av ett e-postmeddelande med känslig information kunnat se hela sändlistan.

Kategorierna stöld, förlust och phishing omfattar 13 procent av de anmälda incidenterna. Några exempel är tjänstedatorer som glömts i kollektivtrafiken, att organisationen haft inbrott eller varit utsatta för phishing, malware eller hacking. Även om dessa incidenter är förhållandevis få berör de större grupper av registrerade.

Vanliga orsaker

Drygt sextio procent av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn. Vanliga orsaker är att individer gjort misstag vid hantering av personuppgifter och det handlar i första hand om felskickade brev och e-postmeddelanden.

Öppna inte länkar eller bifogade filer från okända avsändare.

Datainspektionen

Antagonistiska angrepp står för ungefär var sjunde anmälan. Totalt handlar det om drygt 300 av de anmälda incidenterna som primärt rör stölder och phishing.

Närmare en av tio anmälningar handlar också om brister i organisatoriska rutiner eller processer.

Datainspektionens rekommendationer

Utifrån de anmälningar som gjorts ger Datainspektionen några generella rekommendationer som kan bidra till att förebygga incidenter och mildra konsekvenserna om något ändå inträffar.

  • Kontrollera alltid att korrekt mottagare är angiven innan ett brev eller e-post skickas ut, använd funktionen dold kopia, bcc, vid utskick till flera mottagare, samt använd e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga uppgifter.
  • Kryptera personuppgifter som lagras på usb-minnen, bärbara datorer eller andra flyttbara media som lätta att stjäla eller tappa bort.
  • Påminn medarbetarna om att inte öppna länkar eller bifogade filer från okända avsändare.
  • En central del i arbetet med informationssäkerhet och dataskydd handlar om behörighetsstyrning. Alla organisationer som hanterar personuppgifter behöver ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.
  • Datainspektionen betonar att den stora andelen incidenter som uppges bero på den mänskliga faktorn bekräftar betydelsen av att styrdokument och tekniska informationssäkerhetsåtgärder kompletteras med löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos personalen.

Merparten utan åtgärd

Datainspektionen bedömer att merparten av de incidentanmälningar som inkommit under 2018 kommer att avslutas utan ytterligare åtgärd. Hittills gäller det cirka 600 anmälningar.  

För de omkring 100 incidenter som bedöms som mer allvarliga gör Datainspektionen en fördjupad bedömning och handläggningen pågår.

Senaste nytt

Drönare mot elfel

16 juli 2019

Ölands elledningar har undersökts av drönare och nu meddelar Eon att projektet har varit så framgångsrikt att bolaget planerar för att arbeta på ett liknande sätt i norra Sverige. 

Rekordköpet är klart

12 juli 2019

IBM har nu slutfört förvärvet av Red Hat för cirka 34 miljarder dollar, vilket är den dyraste mjukvaruaffären i historien. Transaktionen stängdes den 9 juli 2019.

Första 5G under jord

12 juli 2019

Telia, Boliden och Ericsson har byggt världens första 5G-nät under jord i Bolidens gruva i Kankberg. Nätet ska användas för att förfina lösningar för automatiserad och hållbar gruvdrift. 

E-kronans osäkra framtid

10 juli 2019

Nordeas chefsekonom Annika Winsth tycker att Riksbanken saknar beredskap i hur e-kronan skulle klara av ett krisläge. Vice riksbankschef Henry Ohlsson är inte lika bekymrad.

Nya i rådet

8 juli 2019

Nu har fem nya ledamöter utsetts till regeringens Digitaliseringsråd. Rådets roll är att vara konsulterande i regeringens arbete med digitaliseringspolitiken. 

Plugga AI i sommar

8 juli 2019

Under förra året utbildades Finlands befolkning i artificiell intelligens. Nu finns kursen, som är gratis och inte kräver några förkunskaper, även på svenska.