Ökat antal it-angrepp mot hälso- och sjukvården

I dataskyddsförordningen, GDPR, finns en skyldighet för företag, myndigheter och andra organisationer att anmäla vissa personuppgiftsincidenter till IMY. En motsvarande skyldighet finns i brottsdatalagen för brottsbekämpande myndigheter.

IMY publicerar idag en rapport som redovisar de anmälningar av personuppgiftsincidenter som myndigheten tagit emot under förra året. I rapporten framgår bland annat att hälso- och sjukvården rapporterat en väsentligt högre andel incidenter orsakade av it-angrepp jämfört med året innan.

– Eftersom hälso- och sjukvården i stor utsträckning hanterar känsliga personuppgifter riskerar en incident att medföra stor skada för de registrerade. Det är därför viktigt att ta riskerna för it-angrepp på allvar, säger Andrea Amft som är analytiker på IMY.

Under förra året anmäldes 5 767 personuppgiftsincidenter vilket är en ökning med 26 procent jämfört med året innan. Det innebär att IMY i snitt tar emot över 110 incidentanmälningar i veckan. IMY bedömer dock att det fortfarande finns ett stort mörkertal i form av anmälningspliktiga incidenter som inte anmäls.

Den vanligaste typen av incident är felaktiga utskick av brev, mejl eller sms. Den vanligaste orsaken till personuppgiftsincidenter är den mänskliga faktorn som ligger bakom närmare 6 av 10 incidenter.

– Den stora mängden incidenter som beror på den mänskliga faktorn understryker betydelsen av att tekniska säkerhetsåtgärder kompletteras med organisatoriska åtgärder, som exempelvis styr- och stöddokument, löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos medarbetarna.