BETA

Stora GDPR-skräcken – så gick det

4 mars, 2019


				Ännu väntar vi på den första stora svenska GDPR-smockan. FOTO ADOBE STOCK

Orolig för att åka på saftiga GDPR-böter? Det kom in tusentals anmälningar till Datainspektionen förra året. Men lugn, än så länge har ingen fått några superstraff.

För ett år sedan satt myndighetspersonal och företagare runt om i Europa och svettades över nya GDPR-lagen. Hur skulle man göra för att inte riskera att åka dit, med höga böter som straff? (I värsta fall på hela fyra procent av företagets totala omsättning.)

LÄS OCKSÅ: DET HÄR KRÄVS AV DIG I GDPR-LAGEN

Den 25:e maj kom. Och gick. Det skulle dröja till en bit in på hösten innan nyheten kom att ett sjukhus i Portugal fått böter på 400 000 euro för brister i skyddet av patientdata. I Österrike fick ett företag som använt sig av kameraövervakning på allmän plats böta 4 800 euro. Och så i januari – storsmockan:  Frankrike gav Google en halv miljard euro i böter.

Första sammanställningen

Men Sverige då? Här har det varit tyst länge. Det stod klart redan från början att inte bara företag var lite sena på bollen. Även från den svenska tillsynsmyndigheten, Datainspektionen, var det svårt att få svar på vad som egentligen gällde inför den 25 maj. Men nu, snart ett år efter implementeringen, har man publicerat den första sammanställningen av vad som hänt sedan GDPR-lagen trädde i kraft.

Under perioden 25 maj–31 december 2018 inkom 2 262 ärenden till Datainspektionen, eller personuppgiftsincidenter, som de också kallas. Av dessa hänfördes fyra till databrottlagen, övriga till GDPR.

En fjärdedel av incidentanmälningarna kom från finans- och försäkringsbranschen. Myndigheter och kommuner stod för 23 procent av anmälningarna. Lika mycket stod hälso- och sjukvård, skola och socialtjänst för, medan näringslivet i övrigt hamnade på 19 procent.

Vad betyder det? Tja, det kan både betyda att det är brister i säkerheten men också att det faktiskt finns rutiner för att upptäcka – och anmäla – brister.

Själva incidenterna indelas i fyra grupper:

  1. Felaktiga brevutskick (42 procent): brev eller e-post som innehåller personuppgifter och som oavsiktligt hamnat hos fel mottagare.
  2. Obehörig åtkomst (23 procent): Någon har olovligen skaffat sig tillgång till personuppgifter eller så har man upptäckt att personuppgifter funnits tillgängliga på en gemensam lagringsyta utan behörighetsstyrning.
  3. Obehörigt röjande: Personuppgiftsansvarig eller någon någon under dennes ledning har hanterat personuppgifter så att de kommit till obehörigas kännedom. Kan till exempel handla om att många fått e-post med känslig information och kan se vilka andra personer som också informationen.
  4. Stöld, förlust och phishing: Om man haft inbrott eller slarvat bort datorer alternativt har blivit utsatt för ett så kallat antagonistiskt intrång genom exempelvis phishing eller hacking. Berör ofta större grupper av registrerade.

I sex av tio fall står den mänskliga faktorn bakom incidenten. Någon har begått misstag när man hanterat personuppgifter helt enkelt. I ett fall av tio handlar det om brister i rutiner eller processer. Den fjärde gruppen står för ungefär var sjunde anmälan.

Än så länge har man avslutat cirka 600 av de inkomna ärendena och merparten utan någon vidare åtgärd. Inga böter. Ingen tillsyn inleddes heller 2018. Ungefär 100 ärenden bedöms som mer allvarliga incidenter, som man fortfarande handlägger.

Men, precis som i Frankrike så tittar den svenska tillsynsmyndigheten på Google här också, bekräftar jurist Gustav Linder vid Datainspektionen.

– Det finns en pågående granskning mot Google där vi tittar på lokaliseringsdata som samlats in från androidtelefoner. Det liknar den granskning som den franska myndigheten gjorde, men det finns skillnader också. Det är lite tidigt att svara på hur om det blir sanktionsavgifter eller inte – eller hur stora belopp det kan röra sig om i så fall. Men det berör ett stort antal personer här också, säger Gustav Linder.

Granskningen av Google beräknas vara klar under våren.

Så här förebygger du incidenter

(Rekommendationer från Datainspektionen)

  • Kontrollera alltid att mottagaren är korrekt när du mejlar. Använd funktionen dold kopia (bcc) vid utskick med flera mottagare. Använd e-post som är skyddad med kryptering vid utskick av känsliga uppgifter.
  • Kryptera personuppgifter som lagras på flyttbara media (usb-minnen, mobiltelefoner, bärbara datorer).
  • Påminn om att inte öppna länkar eller bifogade filer från okända avsändare.
  • Ha stabila rutiner för att säkerställa att behörigheter tilldelas korrekt. Kontrollera löpande och genomför åtkomstkontroller.
  • Komplettera styrdokument med löpande utbildning för att öka medvetenheten hos personalen.
Datainspektionen granskar Klarna
GDPR – Kan jag fortsätta lagra i molnet?
GDPR sätter press på företagen