Mer än var tionde anmäld personuppgiftsincident kommer från finanssektorn

Efter att Ekot uppmärksammade att Avanza haft felaktiga funktioner påslagna på sin sajt som gjort att Facebook över en krypterad kommunikationsväg har kunnat inhämta personuppgifter från Avanzas sajt valde Avanza att anmäla sig självt till Integritetsskyddsmyndigheten, IMY, för att eventuellt ha brutit mot GDPR. Senare under samma dag aviserade även Länsförsäkringen att bolaget anmält sig självt till IMY för samma typ av personuppgiftsincident. Av de cirka 100 anmälningar som kommer in till IMY varje vecka finns i dagsläget inga fler från finansiella aktörer avseende samma typ av fel.

– IMY tar emot ungefär 100 anmälningar om personuppgiftsincidenter per vecka. Vi har begränsade sökmöjligheter i det system som används. Så vitt vi kan se i nuläget så har det i närtid bara kommit anmälningar från Avanza och Länsförsäkringar för den här typen av incident. Länsförsäkringar har inkommit med flera anmälningar för olika län, säger Per Lövgren, pressansvarig på IMY, till Realtid.

Nästa steg vad gäller just Avanza och Länsförsäkringars anmälningar handlar om att IMY ska överväga om en tillsyn krävs med anledning av de anmälda personuppgiftsincidenterna.

– En tillsyn kan övervägas med anledning av exempelvis hanteringen av själva incidenten och anmälan, generella brister som incidenten indikerar, att incidenten bedöms som särskilt allvarlig eller tyder på mer systematiska brister. Att en anmälan om personuppgiftsincident inte föranleder någon åtgärd är inte detsamma som att IMY anser att allt har gått rätt till, säger Per Lövgren, och fortsätter: 

– Myndighetens tillsynsarbete utgår från vår tillsynspolicy och vår tillsynsplan och vi försöker planera våra tillsynsinsatser så att vi kan åstadkomma största möjliga nytta. Av alla anmälningar om incidenter som vi tar emot är det få som vi går vidare med och inleder tillsyn. Myndigheten har ännu inte fattat beslut om vi ska inleda en tillsyn med anledning av dessa anmälningar. 

I slutet av juni släpper IMY en rapport om anmälda personuppgiftsincidenter 2020. Redan nu står det klart hur stor andel av de anmälda incidenterna finanssektorn står för. Och siffran motsvarar en minskning jämfört med 2019.

–  Ungefär 11 procent av anmälningarna inkom från finansiell sektor och försäkringsbranschen under 2020. Obehörigt röjande genom felaktigt brev- eller mejlutskick är vanligast bland de anmälda incidenterna under 2020, även från organisationer inom finansiell sektor och försäkringsbranschen.

Motsvarande siffra under 2019 var 12 procent, vilket innebär att antalet anmälda incidenter inom finanssektorn minskat två år i rad.

Det finns däremot ingen statistik för de anmälningar som kommit in i år och den rapport som publiceras inom kort avser incidentanmälningar som vi tog emot 2020, förklarar Per Lövgren.

Hur stort är mörkertalet, dte vill säga incidenter som inte anmälts?
–  IMY:s bedömning är att det i Sverige fortfarande finns ett stort mörkertal i form av anmälningspliktiga incidenter som inte anmäls. Bedömningen baseras bland annat på utvecklingen i andra EU-länder där anmälningsskyldigheten för personuppgiftsincidenter funnits längre.

Dataskyddsförordningen (GDPR) införde den 25 maj 2018 en skyldighet för privata och offentliga verksamheter som behandlar personuppgifter att rapportera vissa personuppgiftsincidenter till Datainspektionen. Brottsdatalagen införde 1 augusti 2018 motsvarande anmälningsskyldighet för brottsbekämpande myndigheter.

Under 2019 fick dåvarande Datainspektionen, numera IMY, totalt in knappt 4 800 anmälningar om personuppgiftsincidenter, motsvarande cirka 400 anmälda incidenter per månad. Detta kan jämföras med cirka 320 anmälda incidenter per månad år 2018.

Offentlig sektor stod då för den största ökningen av anmälda incidenter. Samtidigt minskade antalet anmälda incidenter inom den finansiella sektorn. Bakom minskningen låg en överrapportering under föregående års period då icke-anmälningspliktiga incidenter anmäldes.

År 2019 var den vanligaste incidenten felskickade e-postmeddelanden eller brev och den vanligaste orsaken till de anmälda incidenterna den mänskliga faktorn.

Har det skett en förändring jämfört med 2019?
–  Antalet anmälda personuppgiftsincidenter minskade något under 2020, tydligast syns minskningen från slutet av mars till och med augusti. Den tillfälliga minskningen är sannolikt en konsekvens av coronapandemin. Under 2020 anmäldes i genomsnitt 87 incidenter per vecka, under 2019 anmäldes i genomsnitt 90 incidenter per vecka. De första fem månaderna av 2021 har IMY i genomsnitt tagit emot över 100 anmälningar i veckan vilket är en ökning i jämförelse med tidigare år, säger Per Lövgren.