GDPR trädde i kraft i maj i fjol och sedan dess så har säkerhetsincidenterna duggat tätt. Den mänskliga faktorn ligger bakom de allra flesta av de tusentals säkerhetsincidenter som skett, kan Datainspektionen slå fast.
Den 25 maj 2018 så trädde GDPR i kraft. GDPR medförde en skyldighet för verksamheter, privata såväl som offentliga, att omgående kontakta Datainspektionen i händelse av att en så kallad personuppgiftsincident har ägt rum för att meddela detta.
Med en personuppgiftsincident avses att personuppgifter exempelvis förstörts, förlorats eller stulits vilket då även är att betrakta som en säkerhetsincident. Sådana incidenter kan i sin tur medföra risker för exempelvis bedrägerier och identitetsstölder och därför måste Datainspektionen kontaktas inom 72 timmar från dess att incidenten uppdagats.
Datainspektion har nu tagit fram en rapport som visar att de mottagit 2 262 anmälningar som rör personuppgiftsincidenter från dess att GDPR trädde i kraft den 25 maj 2018 fram till och med den 31 december 2018. De flesta av dessa anmälningar rör e-post eller fysiska brev som av misstag skickats till fel mottagare vilket har medfört att personuppgifter hamnat fel.
Den mänskliga faktorn ligger bakom mer än hälften av dessa incidenter. Lite mer än 300 incidenter beror på att uppgifter stulits och omkring var sjunde incident beror på det som kallas för antagonistiska angrepp.
De generella rekommendationer som Datainspektionen lämnar som ska syfta till att förhindra att incidenter äger rum består bland annat av att alltid säkerställa att rätt mottagare angivits innan e-post eller fysiska brev skickas, att den som skickar alltid använder sig av dold kopia då utskick sker till fler än en mottagare och slutligen att kryptering används. Krypteringen avser främst information och e-post av känslig karaktär som lagras på exempelvis mobiltelefoner och bärbara datorer, alltså portabel media.
Andra saker som Datainspektionen poängterar är vikten av att organisationer av alla slag måste ha väl utarbetade rutiner som borgar för att it-behörigheter tilldelas på ett korrekt sätt samt att filer och länkar som skickas från okända avsändare aldrig öppnas.
Datainspektionen vill slutligen poängtera vikten av att kontinuerligt utbilda personal för att med hjälp av detta och andra insatser höja personalens medvetenhet och kunskap. Datainspektionen menar att detta är särskilt viktigt då den största delen av incidenterna har att göra med den mänskliga faktorn.
Om ni har frågor om GDPR eller är i behov av juridisk rådgivning och/eller konkret juridisk hjälp med ett ärende som rör GDPR så är ni alltid välkomna att kontakta oss på 08-33 44 25.