data-security

Alla kan drabbas av dataläckor 

Författare:

|

Datum:

|

Fem år efter att GDPR trädde i kraft har dataskyddsmyndigheter i flera länder publicerat statistik över anmälda personuppgiftsincidenter. 

En färsk rapport från Integritetsskyddsmyndigheten (IMY) visar att 6 av 10 personuppgiftsincidenter under 2022 orsakades av mänskliga fel och att det faktiska antalet incidenter kan vara tre gånger högre än vad som anmäls. En rapport på samma tema från den nederländska dataskyddsmyndigheter varnar samtidigt för att alla medborgare bör räkna med att de kan drabbas. 

Enligt IMY:s rapport anmäldes över 5 300 personuppgiftsincidenter förra året och 60 % av incidenterna berodde på fel som begåtts av människor. I rapporten jämförs för första gången antalet anmälningar som inkommit till IMY mellan 2019 och 2022 med motsvarande siffror från de övriga nordiska länderna. Danmark har flest rapporterade personuppgiftsincidenter följt av Sverige och Finland. 

Stort mörkertal
Sverige har dock färre anmälningar än Danmark och Finland i förhållande till sin befolkningsstorlek. Förra året rapporterade danska företag tre gånger så många incidenter och finska företag rapporterade dubbelt så många incidenter som Sverige, när hänsyn tas till befolkningens storlek.

– Baserat på de här siffrorna drar vi slutsatsen att det sannolikt rapporteras betydligt färre incidenter till IMY än det faktiska antalet incidenter. Det kan handla om så många som 10 000 ytterligare incidenter årligen som borde rapporteras till oss men antingen aldrig upptäckts eller som vi inte får anmälningar om, säger Andrea Amft, analytiker på IMY.

IMY:s rekommendationer
I rapporten lämnar följande rekommendationer för hanteringen av personuppgifter:

  • Inför ett systematiskt sätt att arbeta med dataskydd och informationssäkerhet och ta hänsyn till att den mänskliga faktorn är en vanlig orsak.
  • Utgå från vilka personuppgifter ni behandlar för att bestämma nivån på säkerheten, med utgångspunkt från risken för individers fri- och rättigheter. Det här innebär också att ni inte kan kopiera en annan organisations analyser. Ni behöver göra en egen analys.
  • Utvärdera och anpassa kontinuerligt säkerhetsåtgärderna i takt med teknikutvecklingen och hur er verksamhet förändras.
  • Minska risken för mänskliga fel genom organisatoriska och tekniska åtgärder, såsom att förhindra obehörig lagring på flyttbara medier (som USB-minnen) eller installation av obehöriga program/appar.
  • Hantera aktiv behörighet och åtkomst i systemen så att varje medarbetare endast har tillgång till de personuppgifter som de behöver för att kunna utföra sina arbetsuppgifter.
  • Dementerade etablerad dokumenterade processer för att hantera risker och personuppgiftsincidenter för att förebygga upptäcka och hantera Incidenter på ett sätt som främjar att organisationen ständigt lär sig.
  • Odla en god säkerhetskultur i organisationen – det förutsätter att ledningen visar att den bryr sig om om it-säkerhet och skydd för personuppgifter och visar att det är viktiga frågor för verksamheten. Skapa en kultur där ni även diskuterar tidigare incidenter för att se hur ni kan lära er av tidigare misstag.  

Nederländsk dataskyddsmyndighet fokuserar på cyberattacker
Ungefär samtidigt som IMY, publicerade den nederländska dataskyddsmyndigheten sin rapport om personuppgiftsincidenter 2022. Denna rapport har ett något annorlunda fokus än den IMY:s rapport. Förra året mottog den nederländska dataskyddsmyndigheten 21 151 anmälningar, varav 1 800 hänfördes till cyberattacker. I rapporten betonas att dataintrång till följd av cyberattacker är särskilt farliga. Cyberbrottslingar missbrukar personuppgifter som e-postadresser och annan personlig information för att skicka skadliga e-postmeddelanden som ser ut att komma från en betrodd källa.

Varnar för att alla kan drabbas förr eller senare
Den nederländska dataskyddsmyndigheten går så långt som att säga att varje medborgare bör räkna med att antingen fått sina personuppgifter läkta, eller att man kommer att bli ett offer. 

”Dataläckor är tyvärr ett ständigt pågående fenomen. Med tanke på deras natur och omfattning rekommenderar AP att var och en på allvar utgår från att deras personuppgifter antingen har blivit läckta eller att de kommer att bli det” säger Aleid Wolfsen, ordförande för den nederländska dataskyddsmyndighetens styrelse.

Om man tittar på statistiken för de senaste fem åren då GDPR har varit i kraft har den nederländska dataskyddsmyndigheten tagit emot mer än 114 000 anmälningar om personuppgiftsincidenter, av vilka 6 500 gällde cyberattacker. Medan antalet rapporterade personuppgiftsincidenter ligger kvar på samma nivå varje år, är den nederländska dataskyddsmyndigheten oroad över att antalet drabbade personer ökar.

Den nederländska dataskyddsmyndigheten framhåller att cyberattacker utgör en särskilt allvarlig form av personuppgiftsincident. Exempelvis nämns det att de tre allvarligaste personuppgiftsincidenterna som inträffade år 2022 drabbade vården och innebar att 900 000 patienters uppgifter hamnade i fel händer. 

I sitt pressmeddelande betonar den nederländska dataskyddsmyndigheten att personuppgiftsincidenter måste tas på stort allvar. Myndighetens budskap är att alla kan bli ett offer, även de som tror att det inte kommer drabba dem själva.

Läs mer

IMY:s pressmeddelande ”6 av 10 incidenter orsakas av mänskliga faktorn”, 7 juni 2023

IMY:s Rapport om anmälda personuppgiftsincidenter 2022

Nederländska dataskyddsmyndighetens pressmeddelande, ”Vem som helst kan bli offer för ett dataintrång”, 6 juni 2023 (på nederländska)