Flera Twitterkonton på Sveriges Radio hackade i helgen

I helgen råkade bland annat Sveriges Radios Eko-redaktion ut för dataintrång av flertalet Twitterkonton och obscena och märkliga inlägg publicerades. Inläggen ska ha varit av rasistisk och sexuell karaktär och ”hackaren” eller ”hackarna” ska även ha publicerat en bild på ett australiensiskt körkort.

Vi står inte bakom de publicerade meddelandena

Händelsen utreds och de tre Twitterkonton som utsatts har inaktiverats och man jobbar på att lösa det inträffade, sa Klas Wolf-Watz, chef på Ekot, till SVT Nyheter i lördags. Vidare säger Klas Wolf-Watz att de ser väldigt allvarligt på det inträffade då det inte är Sveriges Radio Eko-redaktion som står bakom meddelanden.

Läs mer här.

Amazon stäms för dataskyddsbrott

Europäische Gesellschaft für Datenschutz (EuGD) stämmer Amazon för brott mot dataskyddsförordning, GDPR, för olaglig överföring av data till USA, skriver EuGD i ett pressmeddelande 9 oktober 2020. Det handlar om att Amazon fortsätter att samla in, använda, lagra och överföra kundinformation till USA med stöd av Privacy Shield trots att den ogiltigförklarades i juli i år i samband med Schrems II-målet.

Ett dussintal rättsfall

I pressmeddelandet framkommer att EuGD har erfarenhet av ett dussintal liknande rättsfall i Tyskland och att fallen är extremt tidskrävande och kostsamma för de individer som det handlar om. Vidare säger EuGd:s VD Johann Hermann att det är oacceptabelt att världsledande molnföretag så som Amazon ignorerar konsumenternas rättigheter.

Läs mer här.

H&M bötfälls med 35 miljoner euros för dataskyddsbrott

Den tyska dataskyddsmyndigheten i Hamburg ålägger H&M 35,3 miljoner euro i böter för dataskyddsbrott. Flera hundra anställda vid H&M:s servicecenter i Nürnberg, Tyskland, har blivit övervakade av dess ledning genom registrering av personliga uppgifter, enligt den tyska dataskyddsmyndigheten i Hamburg, skriver EDPB på sin hemsida.

“Välkommen tillbaka samtal”

Övervakningen skall ha skett sedan åtminstone 2014 och delar av företagets anställda har varit föremål för en omfattad registrering av personliga detaljer om deras privatliv. Informationen har sedan lagrats på en nätverksenhet. Ledningen har utfört så kallade ”Välkommen tillbaka samtal” med sina anställda efter exempelvis sjukfrånvaro eller semestrar och en del av dessa samtal har dokumenterats och lagrats digitalt. Samtalen har spelats in och i vissa fall dokumenterats under längre tidsperioder.

Integritetsintrång

Uppgifterna som samlats in har bland annat använts för att ta beslut om åtgärder gällande de personalens anställning. Kombinationen av att samla in detaljer om de anställdas privatliv och registreringen av deras aktiviteter har lett till ett särskilt integritetsintrång i arbetstagarnas medborgerliga rättigheter.

Läs mer här.

Ny uppdaterad information gällande hantering av personuppgifter

Datainspektionen har tagit fram ny uppdaterad information riktad främst till arbetsgivare för att ge vägledning i hantering av personuppgifter om sina anställda enligt Dataskyddsförordningen, GDPR. Informationen gäller bland annat vägledning kring vad som gäller för rekryteringssystem och kamerabevakning på arbetsplatser.

Undantagsfall

Det är normalt förbjudet för en arbetsgivare att behandla känsliga personuppgifter så som exempelvis medlemskap i en fackförening eller etniskt ursprung men det finns undantag. Således tar även informationen upp och ger vägledning i vad som gäller i undantagsfall.

Både privat och offentlig sektor

Informationen vänder sig främst till arbetsgivare inom både privat och offentlig sektor, men kan även vara till hjälp för arbetstagare, arbetssökande, fackförbund och branschorganisationer.

Läs mer här och här.

Datainspektionen byter namn om regerigen får bestämma

Vid årsskiftet kan det vara så att vi får lägga ett nytt namn på minnet och därmed radera ett gammalt. Detta då Regeringen föreslår att Datainspektionen ska byta namn till Integritetsskyddsmyndigheten.

Därför namnbyte

I budgetpropositionen som regeringen lade fram 21 september framkom flertalet skäl till varför Datainspektionen bör byta namn, bland annat därför att:

”Datainspektionen har ett brett ansvar för att människor ska skyddas mot kränkningar av den personliga integriteten. Det framstår därför som naturligt att låta myndighetens uppdrag när det gäller skyddet för den personliga integriteten avspeglas i dess namn. Genom namnbytet markeras också myndighetens nya roll. Risken för att Integritetsskyddsmyndigheten skulle komma att förväxlas med Säkerhets- och integritetsskyddsnämnden bedöms vara liten.”

Lagändringen föreslås träda i kraft den 1 januari 2021.

Läs mer här (s.90 ff. i Budgetpropositionen för 2021, hela dokumentet, prop. 2020/21:1)

Viktig vägledning gällande personuppgiftsansvariga och personuppgiftsbiträden

Den Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en vägledning som tydligt framhäver gränsdragningen mellan organisationer som är personuppgiftsansvariga och personuppgiftsbiträden. Den organisation som är personuppgiftsansvarig är den som bestämmer varför och på vilket sätt en viss hantering av personuppgifter ska ske. En organisation kan ta hjälp av någon annan för den faktiska hanteringen och då blir den hjälpande organisationen ett personuppgiftsbiträde.

Datainspektionen haft ledande roll

Vägledningen som EDPB har publicerat fokuserar på gränsdragningen mellan personuppgiftsansvarig och -biträde. Den beskriver även vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan organisationen med ansvar och den som är biträde. Förutom detta innehåller vägledningen en beskrivning av ett gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.

Vägledningen har tagits fram EU-gemensamt i en arbetsgrupp där den svenska Datainspektionen haft en ledande roll.

Läs mer här.

Norska Stortinget utsatt för cyberattack

Det handlar om en cyberattack där ett begränsat antal e-postkonton tillhörande några av det norska Stortingets ledamöter och anställda inom administrationen blivit angripna. Angriparna har fått ut data från de angivna personernas e-postkonton. Stortingets administrativa chef Marianne Andreassen bekräftar händelsen i ett uttalande på Stortingets hemsida. Stortinget tar händelsen på mycket stort allvar och de riktar full uppmärksamhet åt att analysera situationen. Detta för att uppnå en helhetsbild av det inträffade.

Motivet, omfattningen och skadan ej känd

Vilken typ av data som angriparna kommit över genom de hackade e-postkontona har ännu ej framkommit. Motivet bakom incidenten, omfattningen och skadan är fortfarande okänd. Stortinget har rapporterat in händelsen till bland annat den norska polisens säkerhetstjänst. Händelsen är under utredning.

Läs mer här.

Pulse Secure utsatt för ransomwareattack

Den franska dataskyddsmyndigheten CNIL informerades nyligen om att konfidentiell information om mer än 900 företag runtom i världen har publicerats på ett internetforum. Dessa data ska bland annat ha innehållit IP-adresser till sårbara servrar.

Ej uppdaterade produkter

Vad som inträffat visar sig vara ett dataintrång orsakat av en ransomwareattack där måltavlan varit Pulse Secure, ett virtuellt privat nätverk (VPN) som används av flertalet företag. Attacken påverkade icke uppdaterade versioner av vissa Pulse Secure-produkter, vilket möjliggjort angriparen att komma åt känslig information.

Programuppdateringar tillgängliga

Programutgivaren till Pulse Secure har publicerat en sammanställning av de berörda produktversionerna och tillgängliggjort programuppdateringar till dessa. De rekommenderar att organisationer som ännu ej uppdaterat sina Pulse Secure-produkter bör göra det snarast möjligt för att inte bli utsatta för intrång.  

Uppdatera alla lösenord

CNIL rekommenderar också att de organisationer som berörs av detta förnyar alla lösenord som använts i organisationens system. Generellt råder CNIL organisationer att genomföra granskningar av sina informationssystem, samt att övervaka misstänkta aktiviteter för att dessa snabbt ska upptäckas.  

Läs mer här.

Riktade IT-attacker mot kryptovalutaföretag

IT-säkerhetsföretaget F-Secure meddelar i ett pressmeddelande den 25 augusti 2020 att en Nordkorea-allierad hotaktör utfört riktade IT-attacker mot flertalet kryptovalutaföretag runt om i världen.

Kopplingar till Lazarusgruppen

Det framgår av pressmeddelandet att det handlar om en mycket skicklig ekonomiskt motiverad hotaktör som har kopplingar till Lazarusgruppen, vars intressen ligger i linje med Nordkoreas. F-Secure drar slutsatsen att attacken var en del av Lazarus offensiv riktad mot kryptovalutaindustrin i bland annat i USA, Storbritannien, Nederländerna och Tyskland.

“Spear phishing”

I pressmeddelandet framgår det att den taktik, de tekniker och processer som använts under attacken är en så kallad ”spear phishing”, i detta fall genom att använda LinkedIn för att skicka falska jobberbjudanden till olika profiler. Trots Lazarusgruppens ansträngningar att dölja sina spår, genom att till exempel inaktivera mottagarens antivirusprogram och avlägsna spår från skadliga koder, kunde F-Secure finna tillräcklig bevisning för att avslöja gruppens attack.

Läs mer här.

Det danska Datatilsynet har kastat känsliga dokument i vanlig pappersåtervinning

Det danska Datatilsynet skriver på sin hemsida att de av misstag har kastat dokument som kan innehålla konfidentiell och känslig information om medborgare, anställda etc. i en container istället för att strimlas. Detta är material som i vanliga fall lagras elektroniskt i Datatilsynets system.

Skulle ha strimlats

Dokumenten har kastats i en behållare i tron om att det sedan skulle strimlas men har istället kastats i en container som vanligt papper. Containern stod emellertid i ett låst återvinningsrum. Det danska Datatilsynet ser incidenten som djupt beklagligt och tycker att det är mycket olyckligt att den har inträffat. Datatilsynet har nu granskat myndighetens riktlinjer och skärpt sina förfaranden för att se till att pappersavfall i framtiden hanteras korrekt.

Pågått mellan februari och augusti

Överträdelsen har pågått under perioden februari till augusti, under samma period som myndigheten flyttade till nya lokaler. Från mitten av mars till mitten av juni har emellertid frågan inte varit aktuell, eftersom alla anställda under denna period arbetade hemifrån på grund av COVID-19. Det finns inga indikationer på att personlig information har nått obehöriga personer.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart