Under 2019 fick Datainspektionen totalt in knappt 4 800 anmälningar om personuppgiftsincidenter, vilket motsvarar cirka 400 anmälda incidenter per månad. 2018 anmäldes cirka 320 incidenter per månad. Det visar en rapport publicerad av Datainspektionen som jämfört antalet personuppgiftsincidenter.
Offentlig sektor står för den största ökningen av anmälda incidenter, i synnerhet statliga myndigheter och hälso- och sjukvården. Båda dessa sektorer anmälde under 2019 dubbelt så många incidenter i snitt per månad jämfört med 2018.
Den vanligaste incidenten 2019 är, liksom föregående år, felskickade e-postmeddelanden eller brev, som utgör drygt en tredjedel av incidenterna. Den vanligaste orsaken till de anmälda incidenterna är den mänskliga faktorn, som uppges ha orsakat hälften av de anmälda incidenterna 2019.
Obehörig åtkomst är den näst största kategorin av anmälda personuppgiftsincidenter och utgjorde under 2019 knappt en fjärdedel av anmälningarna. Obehörig åtkomst handlar om att någon olovligen berett sig tillgång till personuppgifter, till exempel genom att behörigheter till ett it-system har tilldelats felaktigt eller för generellt. Ett annat återkommande exempel är att det upptäcks att personuppgifter har funnits tillgängliga på en gemensam lagringsyta utan behörighetsstyrning.
Obehörigt röjande står för knappt en fjärdedel, 23 procent, av anmälningarna 2019. Obehörigt röjande innebär att den personuppgiftsansvarige eller någon under den personuppgiftsansvariges ledning hanterat personuppgifter på ett sätt så att de kommit till obehörigas kännedom. Det kan till exempel handla om att personuppgifter avsiktligt eller oavsiktligt röjts för någon som saknar behörighet att ta del av dem eller att brister i ett tekniskt system gör att stora mängder personuppgifter kommit till fel mottagares kännedom.
För att minska riskerna med e-post är det viktigt att ta fram regler och rutiner för hur man behandlar personuppgifter i e-post, och se till att alla kan följa dem. Riktlinjer och utbildning är kanske det bästa sättet att förhindra att e-post skickas till fel person.
Långsiktigt är det inte lämpligt att använda e-post när man behandlar personuppgifter. Att lagra personuppgifter på en e-postserver är inte säkert, men alldeles säkert så kommer de att finnas där även framöver, eftersom det är en etablerad kommunikationskanal. Därför är det är viktigt att regelbundet kunna kontrollera vilken persondata som finns på servern för att sedan flytta den data som behöver sparas till ett lämpligare system, som t.ex ett ärendehanteringssystem. Då blir det lättare att söka efter uppgifterna och man kan säkerställa att uppgifterna blir borttagna när de inte längre behövs.
Varje verksamhet har idag byggt upp ett antal datakällor som kan hjälpa oss att effektivisera hur vi arbetar. Ett exempel är strukturerad data från verksamhetssystem som behandlar ärenden. För att kunna dra rätt slutsatser i det dagliga arbetet och för att förbättra vårt arbetssätt med nya lösningar behöver vi lita på att vi har god datakvalitet. Ett system med hög datakvalitet levererar rättssäkerhet, möjliggör bevarande och gör att vi kan återanvända vår data för nya idéer och syften i framtiden.
Att skanna igenom system, mailservrar och filservrar efter personuppgifter kan man göra med speciella verktyg. Det ger en kontroll av hur GDPR-läget är i organisationen. Men enligt vår erfarenhet från kunder i offentlig sektor handlar datakvalitet lika mycket om att ändra beteende hos de som producerar data, som det handlar om verktyg för automatiserade korrigeringar. Även om det i ett verksamhetssystem finns en relativt klar bild av hur information och metadata ska komma in i systemet så finns det ändå brister.
Vi har sett goda resultat genom att koppla på Adoxa som skannar igenom verksamhetssystemets data baserat på ett konfigurerbart regelverk. Regelträffar som indikerar bristande datakvalitet distribueras då till utpekade informationsägare. Dessa får genom ett arbetsflöde hjälp att granska och åtgärda bristerna. Genom att distribuera ut regelträffar och ge respektive medarbetare hjälp till självhjälp kan vi göra rätt saker för att höja datakvaliteten.