Datainspektionen utfärdar en sanktionsavgift på 200 000 kr för olaglig kamerabevakning på LSS-boende

En anhörig till en boende på ett LSS-boende i Gnosjö kommun har skickat in klagomål till Datainspektionen gällande olaglig kamerabevakning. Det handlar om att en boende kamerabevakats i sitt eget sovrum, vilket går i strid med dataskyddsförordningen, GDPR.

Kamerabevakning i sovrummet

Datainspektionen poängterar att sovrummet är hemmets mest privata sfär och bedömer att detta inneburit ett mäkta övertramp i den boendes personliga integritet. Den boendes sjukdomsbild ska, enligt Gnosjös socialutskott som ansvarar för LSS-boenden, skapat stora problem både för boenden och personal med risk för allas liv och hälsa, vilket har varit avgörande för kamerabevakning i den boendes sovrum.

Saknas rättslig grund för kamerabevakning

I Datainspektionens beslut konstateras ”att det saknas en rättslig grund för kamerabevakningen, att det inte genomförts en konsekvensbedömning innan bevakningen inleddes och att man inte tydligt informerat om kamerabevakningen.” Därav utfärdar myndigheten en sanktionsavgift på 200 000 kr mot socialutskottet.  

Läs mer här.

Datainspektionen bötfäller utbildningsnämnden i Stockholms stad med 4 miljoner kronor

Utbildningsnämnden i Stockholms stad har gjort ett flertal anmälningar gällande personuppgiftsincidenter till Datainspektionen. Det handlar om det it-system, Skolplattformen, som används för bland annat elevadministration i Stockholm där uppgifter om uppåt 500 000 elever lagras. Bland annat innehåller systemet sekretessmarkerade uppgifter om både elever och lärare, däribland uppgifter om skyddad identitet.

Allvarliga brister

Datainspektionen har funnit allvarliga brister i fyra delsystem i Skolplattformen. I ett av delsystemen har man funnit att det finns brister i möjligheten att begränsa användarens åtkomst till uppgifter om elever med skyddad identitet. Det har varit möjligt att via en Googlesökning hitta länkar för inloggning till ett administrationsgränssnitt som leder till uppgifter om lärare med skyddad identitet.

Ej vidtagit lämpliga säkerhetsåtgärder

Beslutet som Datainspektionen tagit gällande sanktionsavgiften på fyra miljoner kronor konstateras att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifter. Man har heller inte ”vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.”.

Läs mer här.  

Ett stort svenskt hyrläkarföretag har drabbats av ett omfattande dataintrång – utpressas!

Det handlar om en läcka med uppgifter om över 12 000 svenska och norska läkare och sjuksköterskor, rapporterar SVT Nyheter. Databasen har skickats till både SVT och Datainspektionen av en anonym avsändare. Avsändaren skriver att databasen innehåller uppgifter från hyrläkarföretaget Läkarleasing.

Uppgifter om löner och löneanspråk

De uppgifter som databasen innehåller är av känslig karaktär och innehåller bland annat uppgifter om löner och löneanspråk från enskilda läkare och sjuksköterskor. Dessutom innehåller den omdömen om enskilda personer samt en del lösenord som avsändaren säger kommer att läggas ut online inom kort.

Lösensumma på 4 miljoner

Läkarleasing har gjort en anmälan till Datainspektionen om att ”information har gått förlorad på något sätt, till exempel genom att en dator blivit stulen”, bekräftar bolaget för SVT. Bolaget har även polisanmält händelsen då det finns en misstanke om att en tidigare anställd kan berett sig tillgång till hemlig information av den här typen. SVT rapporterar även att Läkarleasing har mottagit krav på lösensummor i motsvarande fyra miljoner i Bitcoin.

Läs mer här.

AEPD publicerar guide kring användning av ny teknik i offentliga förvaltningar

Den spanska dataskyddsmyndigheten Agencia Española de Protección de Datos, AEPD, publicerar en guide gällande användningen av ny teknik i offentliga förvaltningar

Dokumentet innehåller granskning av cookies och andra spårningsteknologier, användning av sociala nätverk, cloud computing, big data, artificiell intelligens, blockchain och smarta städer. Guiden utvärderar den inverkan som dessa tekniker kan ha på dataskyddet, belyser de risker som är inneboende i tekniken och anger de skyddsåtgärder som de offentliga förvaltningarna måste genomföra.

Läs mer här och ta del av guiden här.

Bluff-mail, -sms och -annonser på Facebook med PostNord som avsändare

Just nu skickas det ut bluff-mail och bluff-sms med PostNord som avsändare till svenska mottagare. Ett bluff-sms kan till exempel se ut så här: “Kära (namn på mottagaren av sms:et), Du ska betala 19,96 kronor i importmoms, för att slippa deklarationsavgiften gå in och betala här: xxxxxx”. PostNord ber alla som blivit utsatta för ett sådant sms att radera det och inte följa anvisningarna i meddelandet.

Bluff-mail

De bluff-mail som skickas ut kan se ut på flera olika sätt, till exempel så kan meddelandet innehålla information om att din försändelse inte kunnat levereras trots flera försök och att mottagaren behöver betala in en summa på 25 kr med sitt betalkort för att PostNord ska leverera försändelsen på nytt.

Bluff-annonser på Facebook

Förutom bluff-sms och bluff-mail så förekommer det även bluff-annonser på Facebook där det ser ut som att Postnord lottar ut mobiltelefoner. PostNord försäkrar att det inte är de som ligger bakom dessa bluff-sms, bluff-mail och bluff-annonser på Facebook. De uppmanar även dig som känner dig osäker på om du blivit utsatt för en bluff att ta kontakt med PostNords kundtjänst.

Läs mer och ta del av alla bildexempel på bedrägerierna här.

ICO bötfäller Ticketmaster UK Limited med 1,25 miljoner pund på grund av brott mot GDPR

I februari 2018 fick flertalet banker runt om i världen anmälningar från kunder om falska transaktioner. Commonwealth Bank of Australia, Mastercard, American Express med flera uppmärksammade Ticketmaster UK Limited om detta. Det visar sig att en chat-bot från tredje part som Ticketmaster använder på webbplatsens betalsida har möjliggjort angripare att få tillgång till kundernas ekonomiska information.  

Cirka 9,4 miljoner av Ticketmasters kunder i Europa har drabbats av dataintrånget, varav 1,5 miljoner brittiska kunder och 60 000 betalkort som tillhör Barclays Bank har utsatts för bedrägeri.

Ticketmaster har misslyckats

ICO anser att Ticketmaster har misslyckats att bedöma riskerna i att använda sig av en chat-bot på webbplatsens betalsida, identifiera och genomföra lämpliga säkerhetsåtgärder för att negera risker samt misslyckats med att identifiera källan till incidenten i god tid. Det tog Ticketmaster totalt nio veckor att komma underfund med vad som orsakat de falska transaktionerna.

Brottet inträffade innan Brexit

Även om överträdelsen började i februari 2018, gäller straffet endast överträdelsen från den 25 maj 2018, när nya regler enligt den allmänna dataskyddsförordningen (GDPR) trädde i kraft. Chat-boten togs bort från Ticketmaster UK Limiteds webbplats den 23 juni 2018.

Brottet inträffade innan Storbritannien lämnade EU och därför undersökte ICO på uppdrag av alla EU-myndigheter som ledande tillsynsmyndighet enligt GDPR. Påföljden och åtgärden har godkänts av de andra dataskyddsmyndigheterna i EU genom GDPR:s samarbetsprocess.

Läs mer här.

Flera stora svenska företag utsatta för en omfattande it-attack

Ett dussintal svenska företag har under förra vecka utsatts för en omfattande it-attack i form av dataintrång där ”hackarna” har placerat ett utpressningsvirus, Ransomware, på mottagarens dator, rapporterar Sveriges Radio Ekot.

Kulminerat i helgen

Det handlar om att ”hackarna” kräver företagen på en summa pengar för att stoppa angreppet, troligtvis i den digitala valutan bitcoin, säger polisen till Sveriges Radio Ekot. Angreppet har i helgen kulminerat och det handlar om uppemot 200 datorer. Polisen har i dagsläget ingen information om att något av de drabbade företagen har betalat ut en lösensumma till ”hackarna”.

Läs mer här.

EDPB publicerar riktlinjer med anledning av Schrems II-domen

EDPB har nu tagit fram riktlinjer gällande överföring av personuppgifter till tredje land med anledning av Schrems II-domen. Det är två vägledningsdokument som ska vara till hjälp för företag att följa de regler som gäller vid överföring av personuppgifter till tredje land.

Två rekommendationer

”Rekommendationer om åtgärder som kompletterar överföringsverktyg för att säkerställa överensstämmelsen för personuppgifter” handlar om de bedömningar som måste göras innan personuppgifter kan överföras till tredje land. Detta dokument har en bilaga med exempel på ytterligare åtgärder som kan genomföras för att säkerställa att personuppgifter skyddas tillräckligt utanför EES.

Läs mer och ta del av dokumentet här.

“Rekommendationer om europeiska väsentliga garantier för övervakningsåtgärder” handlar om hur man ska bedöma övervakningslagar och vad man ska leta efter.

Läs mer och ta del av dokumentet här.

Läs pressmeddelandet här.

Tusla Child and Family Agency bötfälls med 75 000 euro.

Den irländska motsvarigheten till Datainspektionen, Data Protection Commission (DPC), ålägger Tusla Child and Family Agency böter på 75 000 euro.

Det handlar om tre fall av personuppgiftsöverträdelser som Tusla själva anmält till DPC. De tre fallen handlar om att Tusla har överlämnat dokument som innehållit personuppgifter till tredje part. Det första tillfället lämnade de över en fostervårdsadress till två fosterbarns biologiska far. Den andra gången gav Tusla en person som anklagats för sexuella övergrepp mot barn hem- och skoladress till det berörda barnet. Det tredje fallet handlar även detta om att Tusla gett ut ett fosterbarns adress och kontaktuppgifter till en släktning. Alla tre fallen ska ha skett oavsiktligt från Tuslas sida.

Beslut

I beslutet konstaterades att Tusla har överträtt artikel 32.1 i GDPR genom att inte genomföra lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för den risk som utgörs av dess behandling av personuppgifter med avseende på dess delning av dokument med tredje part. Det konstaterades också att Tusla överträdde artikel 33.1 i GDPR genom att inte underrätta DPC om den tredje överträdelsen utan onödigt dröjsmål.

Läs mer här.

Folksam har delat personuppgifter med bla Facebook – anmäler sig själva till Datainspektionen

På försäkringsbolaget Folksams hemsida rapporterar de idag om att de anmäler sig själva till Datainspektionen efter att de vid en intern kontroll upptäckt att cirka en miljon personers uppgifter har delats med bolagets digitala samarbetspartners. Vissa uppgifter som delats kan klassas som känsliga, skriver de på hemsidan. Delningen är stoppad och Folksam har begärt att få uppgifterna raderade hos partnerföretagen.

Kan väcka oro hos kunder

Vidare går det att läsa att Folksam förstår att detta kan väcka oro hos deras kunder och att de ser allvarligt på det inträffade. I nuläget finns det inte några uppgifter som tyder på att informationen har använts av tredje part på något otillbörligt sätt, skriver Folksam.

Bland de företag som har mottagit uppgifter från Folksam finns Facebook, Google, Microsoft, LinkedIn och Adobe.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart