Offentlig sektor allt bättre på att anmäla personuppgiftsincidenter

I dataskyddsförordningen, GDPR, som trädde i kraft den 25 maj 2018 finns en skyldighet för företag, myndigheter och andra organisationer att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten. En motsvarande skyldighet finns i brottsdatalagen för brottsbekämpande myndigheter.

Integritetsskyddsmyndigheten publicerar nu en rapport över de personuppgiftsincidenter som anmälts till myndigheten under perioden januari–september 2019. Rapporten visar att antalet anmälda personuppgiftsincidenter ökat under de första nio månaderna 2019. Totalt fick Integritetsskyddsmyndigheten under perioden in 3 410 incidentanmälningar, vilket motsvarar närmare 90 anmälda incidenter per vecka. Under 2018 anmäldes i genomsnitt 70 incidenter per vecka. Antalet anmälda incidenter har därmed ökat med närmare 30 procent under 2019 jämfört med 2018. Ökningen återfinns främst i offentlig sektor.

– Vår bedömning är att ökningen beror på en ökad medvetenhet och kunskap om anmälningsskyldigheten. Intrycket är att rutinerna för att anmäla incidenter nu blivit mer etablerade, i synnerhet inom offentlig sektor och större företag. Samtidigt bedömer vi att det fortfarande finns ett stort mörkertal i form av anmälningspliktiga incidenter som inte anmäls, säger Integritetsskyddsmyndighetens stabschef Karin Lönnheden.

Sammantaget står verksamheter inom offentlig sektor eller med offentligt uppdrag för nästan två tredjedelar, 64 procent, av alla incidentanmälningar som hittills inkommit under 2019. Under 2018 var motsvarande andel 46 procent.

– Att en organisation eller en bransch anmäler många incidenter behöver inte vara en indikation på bristande säkerhet. Tvärtom kan det tyda på att verksamheten har bra rutiner på plats för att upptäcka och rapportera personuppgiftsincidenter.

Läs Integritetsskyddsmyndighetens rapport i pdf-format (pdf, 4 MB)

Detta är en personuppgiftsincident
En personuppgiftsincident är en säkerhetsincident som rör personuppgifter, till exempel att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer. En personuppgiftsincident kan innebära risker för den vars personuppgifter det handlar om. Riskerna kan handla om till exempel identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning. Om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten inom 72 timmar från att den upptäckts. Om det finns en hög risk att privatpersoners fri- och rättigheter kan påverkas till följd av en personuppgiftsincident är den ansvariga verksamheten skyldig att informera de registrerade om att incidenten inträffat så att dessa kan vidta egna åtgärder, som att byta lösenord.

För mer information kontakta

Stabschef Karin Lönnheden, tfn 08-657 61 69

Presskontakt Per Lövgren, tfn 08-515 15 415