Lönebarometern 2020

HR Commitment har under flera år genomfört löpande löneundersökningar för Sveriges bolagsjurister, Sveriges Compliance Officers och Sveriges internrevisorer i samarbete med respektive yrkesgrupps intresseförening. Syftet med undersökningen är att ge en bild av löneläget och arbetsvillkor och att ge dig som arbetar med dataskyddsfrågor underlag inför kommande lönediskussioner, vare sig det gäller dig själv eller dina medarbetare. 

Forum för Dataskydd anlitade HR Commitment för att genomföra den årliga undersökningen för 2020, se länkar till resultatet nedan.

Resultatet av undersökningen finns på svenska här och på engelska här (in english).

IMY informerar och tipsar – Hur du skyddar din information i molnet!

Integritetsskyddsmyndigheten (IMY) har publicerat en vägledning om informationssäkerhet och molntjänster på sin webbplats med tips om vad du ska tänka på för att skydda din information i molnet.

Risker med molntjänster

Sociala medier, e-post och lagring av bilder och andra filer på nätet är exempel på molntjänster, där informationen laddas upp enkelt från en smartphone, surfplatta eller dator, skriver IMY på sin webbplats. Det finns flera risker med molntjänster, bland annat att den molntjänstleverantör som du använder kan lägga ner sin verksamhet eller bli uppköpt av ett annat företag och att din information som finns lagrad i molnet kan förstöras eller bli oåtkomlig.

Öka ditt skydd

För att öka skyddet för din information i en molntjänst är det viktigt att tänka på att du regelbundet uppdaterar listan över vilka du delar information med i molnet och ta bort de som inte längre ska ha behörighet till informationen. Ett annat sätt att öka skyddet för din information är att välja ett starkt och unikt lösenord så att ingen obehörig kan komma åt din information i dina molntjänster. Om möjligt ska du även aktivera tvåfaktorsautentisiering.

Läs mer här.

Italiensk vårdgivare i Emilia-Romagna får sanktionsavgift med 50 000 euro för brott mot GDPR

Den italienska dataskyddsmyndigheten Garante har utfärdat en sanktionsavgift enligt GDPR mot en italiensk vårdgivare efter att information om en patient överlämnats telefonledes till en anhörig.

Oavsiktligt lämnat ut information

Av Garantes beslut framkommer att sjukvårdspersonal på en gynekologmottagning i Emilia-Romagna oavsiktligt har kontaktat patientens man och delgett information om att patienten besökt mottagningen. Informationen har lämnats ut trots att patienten uttryckligen begärt att ingen tredje part eller familjemedlem skulle få ta del av den. Enligt vårdgivaren ska inte information om patientens hälsotillstånd lämnas ut.

Brott mot GDPR i flera avseenden

Garante har beslutat att utfärda en sanktionsavgift mot vårdgivaren om 50 000 euro eftersom denna typ av incident strider mot artiklarna 5.1 (a), (d) samt 9 i GDPR. Myndigheten anser även att vårdgivaren brutit mot artikel 32 (1) i GDPR eftersom vårdgivaren inte har vidtagit lämpliga säkerhetsåtgärder för att hantera patientjournaler och telefonnummer.

Läs mer här.

Flera svenska myndigheter skickar IP-adresser till Google trots att de utlovar anonymitet

En granskning som Sveriges radio Ekot gjort visar att ett åttiotal offentliga webbplatser lovar sina besökare anonymitet men skickar ändå besökarens personuppgifter till Google. Efter Ekots granskning har flera myndigheter anmält sig själva till Integritetsskyddsmyndigheten, bland annat Åklagarmyndigheten.

Ekot har granskat totalt 500 webbplatser

Informationen som skickats till Google är en IP-adress, som EU-domstolen klassar som en personuppgift för att den i förlängningen kan användas för att identifiera enskilda personer, skriver Ekot på sin webbplats. Ekot har granskat totalt 500 webbplatser varav över 150 offentliga webbplatser har skickat vidare IP-adresser utan att informera sina besökare. Utöver dessa webbplatser har drygt 80 webbplatser dessutom lovat användarna anonymitet men inte hållit det löftet.

Google erbjuder anonymisering

När Ekot pratar med Google berättar de att alla kunder erbjuds möjlighet till att anonymisera sina IP-adresser. De säger även att anonymiseringen sker automatiskt för alla som använder den senaste versionen av Googles analystjänst.

Läs mer här.

Integritetsskyddsmyndigheten ålägger Polismyndigheten en administrativ sanktionsavgift på 2,5 miljoner kronor

I februari 2020 uppmärksammades Integritetsskyddsmyndigheten (IMY) genom uppgifter i media att brottsbekämpande myndigheter i Sverige kan ha använt sig av den amerikanska appen Clearview AI för ansiktsigenkänning.

Anställda använt Clearview AI utan att tillhandahållit appen av Polismyndigheten  

Under våren 2020 framgår det i yttranden från Polismyndigheten att appen använts av några anställda inom myndigheten vid ett antal tillfällen utan att myndigheten tillhandahållit de anställda appen. Enligt IMY har polismyndigheten brustit i flera avseenden i sitt personuppgiftsansvar vid användningen av appen. Polismyndigheten har en tydlig lagstiftning kring hur personuppgifter ska behandlas, särskilt inom den brottsbekämpande verksamheten. De har ett ansvar att säkerställa att personalen känner till vilka regler som gäller, skriver IMY på sin webbplats.

Anställda vid Nationella Operativa Avdelningen och region Syd

Enligt Polismyndigheten har appen använts av totalt sex anställda varav fem av dem använt appen i operativ verksamhet vid några tillfällen under perioden hösten 2019 till och med 3 mars 2020. Det är anställda vid Nationella Operativa Avdelningen (NOA) samt region Syd som använt appen. När användandet av appen blev känt i media gick Polismyndighetens dataskyddsombud ut med en rekommendation om att Nationellt Forensiskt Centrum och NOA skulle klargöra och sprida att sådan användning inte var tillåten.

Administrativ sanktionsavgift på 2 500 000 kronor

Med stöd av 6 kap. 1 § brottsdatalagen ålägger IMY Polismyndigheten en administrativ sanktionsavgift på 2 500 000 kronor. De åläggs även att informera de personer vars uppgifter matats in i appen, när sekretessbestämmelser så tillåter, samt, om möjligt, radera de inmatade personuppgifterna från appen.

Läs mer här.

Integritetsskyddsmyndighetens (IMY) har beslutat om 150 miljoner kronor i sanktionsavgifter under 2020

I ett pressmeddelande från Integritetsskyddsmyndigheten (IMY) framgår att myndigheten har beslutat om sanktionsavgifter om 150 miljoner kronor år 2020. Avgifterna har framförallt delats ut till företag som inte följt dataskyddsförordningen, GDPR.

Halverat handläggningstiden

Av pressmeddelandet framgår att myndigheten har inlett 52 tillsynsärenden och avslutat 53. I 15 tillsynsärenden fattade myndigheten beslut om sanktionsavgifter på totalt 150 miljoner kronor. Myndigheten har under 2020 tagit emot 4 600 anmälningar om personuppgiftsincidenter, 3 200 klagomål från enskilda och fattat beslut i över 1 000 ärenden om kamerabevakning. Det framkommer även av pressmeddelandet att myndigheten har halverat handläggningstiden för tillstånd samt att de har utvecklat samverkan med flera myndigheter och organisationer.

Slutligen meddelar myndigheten att de kommer “att utreda alla klagomål och inleda tillsyn i betydligt högre grad än tidigare.”

Ta del av hela pressmeddelandet här och årsredovisningen i pdf-format här.

Ett polskt spa-företag har använt sig av föråldrad programvara vilket resulterat i dataintrång

Den 17 februari 2021 utfärdade den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) en varning till ett spa-företag för att de använt sig av föråldrad programvara. Användningen av programvaran resulterade i ett dataintrång.

Inte testat sårbarhet för hot

UODO betonar att företagets personuppgiftsansvarig inte valt effektiva åtgärder för att skydda företagets IT-system. Man har heller inte på ett adekvat sätt testat IT-systemens sårbarhet för olika typer av hot. Företaget har endast testat mjukvarornas prestanda och dess motstånd för olika typer av fel. Det framkom även att företaget inte använt lämpliga tekniska och organisatoriska mätparametrar vid testerna.

Måste regelbundet testa, mäta och utvärdera IT-systemen

Den slutsats som UODO kommit fram till är att överträdelsen inte lett till någon större risk för de drabbade eftersom dataintrånget inträffade under en period eftersom spa-företaget hade stängt på grund av COVID-19-pandemin. Vidare meddelar UODO att företaget regelbundet måste testa, mäta och utvärdera IT-systemen och att detta också ska dokumenteras.

Ta del av pressmeddelandet här och beslutet här.

Den nederländska vårdgivaren OLVG åläggs sanktion om 440 000 euro för otillräcklig datasäkerhet

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) meddelar på sin webbplats att Amsterdam-sjukhuset OLVG har ålagts sanktionsavgift om 440 000 euro eftersom vårdgivaren inte har vidtagit tillräckliga åtgärder för att säkerställa att obehöriga inte haft tillgång till patientjournaler. Detta har möjliggjort att arbetande studenter och andra anställda har haft åtkomst till patientjournaler utan att det varit nödvändigt för deras arbete.

Utredningen inleddes efter ett tips från en berörd medborgare, vissa signaler från media och två incidentrapporter från OLVG.

Brister i journalåtkomst

Efter den granskning som AP genomfört framkom att sjukhuset har haft brister i kontrollen av vem som har åtkomst till vilka patientjournaler. Det framkom även att vårdgivaren inte använt sig av tvåfaktorsautentisering vid inloggning i sjukhusets it-system. Efter AP:s granskning har OLVG infört strukturella kontroller av inloggningar på sjukhuset samt implementerat tvåfaktorsautentisering.

Sjukhuset uppger att man inte avser invända mot eller överklaga sanktionerna.

Läs mer här.

Det norska Datatilsynet inleder granskning av Jehovas vittnen

Det norska Datatilsynet har fått in flera klagomål och tips om behandling av personuppgifter av medlemmar i samfundet. Det handlar om att samfundet olagligt lagrat personlig information eller att personlig information inte raderats i enlighet med dataskyddsförordningen.

Frågor kring ansvar enligt sekretessreglerna

Inledningsvis har Datatilsynet skickat ett brev till den norska avdelningen för Jehovas vittnen i Enebakk där de ställer frågor för att klargöra om det är avdelningen eller de enskilda församlingarna som är personuppgiftsansvariga enligt dataskyddsregelverket. Därefter kommer myndigheten behandlar de enskilda klagomålen.

Samfundet har till den 4 mars 2021 på sig att svara på brevet.

Läs mer här.

Danska Datatilsynet riktar allvarlig kritik mot Region Syddanmark som sparat miljontals inkomna telefonsamtal sedan 2013

En dansk medborgare har lämnat in klagomål till Datatilsynet gällande inspelning av ett telefonsamtal mellan medborgaren och Region Syddanmark vilka vägrade att radera inspelningen. Efter granskning av verksamheten fann Datatilsynet att det spelats in och bevarats drygt 7,5 miljoner samtal sedan januari 2013.

Inte en del av en patientjournal

Region Syddanmark ansåg att inspelade telefonsamtal med medborgare bör betraktas som en del av patientjournalen och att de därför ska bevaras 10 år efter patientens sista vårdkontakt. Enligt Datatilsynet är telefonsamtalen inte en del av patientjournalen utan en lagringsperiod på upp till fem år är laglig. De betonar att syftet med att spela in telefonsamtal inom akutsjukvård är för att säkerställa dokumentation för användning kopplat till eventuella klagomål. Utifrån detta riktar Datatilsynet allvarlig kritik mot Region Syddanmark eftersom de sparat inspelningar av telefonsamtal i mer än fem år. De riktar även kritik för hur de hanterat klagomålet från medborgaren. Som del av beslutet från Datatilsynet ska Region Syddanmark radera alla inspelningar av telefonsamtal som är mer än fem år gamla.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart