Personuppgiftsincidenter under 2018

Enligt GDPR är alla organisationer som behandlar personuppgifter skyldiga att anmäla vissa personuppgiftsincidenter till Datainspektionen. Det kan t ex handla om personuppgifter som genom hacking eller slarv blivit stulna, exponerats felaktigt på internet, felaktigt förstörts eller ändrats.

Datainspektionen har tagit fram en rapport över anmälda personuppgiftsincidenter under 2018 (efter GDPR:s införande 25 maj). Totalt fick Datainspektionen in ca 2 300 incidentanmälningar.

Rapporten visar att 25% av alla incidentanmälningar kom från verksamheter inom den finansiella sektorn eller försäkringsbranschen. Myndigheter och kommuner stod för ca 25% av anmälningarna. Anmälningar från hälso- och sjukvård, skola och socialtjänst utgjorde tillsammans ca 25%. Därutöver stod näringslivet i övrigt för 19%. Resterande delen av anmälningarna kom från ideella organisationer eller ekonomiska föreningar samt övriga verksamhetsområden.

Den största delen av de anmälda incidenterna (42%) avsåg felaktiga brevutskick, dvs brev eller e-post som innehåller personuppgifter och oavsiktligt hamnar hos fel mottagare. Drygt 60% av de anmälda personuppgiftsincidenterna berodde på den mänskliga faktorn.

De flesta av anmälningarna leder inte till någon ytterligare åtgärd från Datainspektionen. För allvarligare incidenter (ca 100 stycken) gör Datainspektionen en fördjupad bedömning och för dessa pågår handläggningen fortfarande.