Annons

Hundratals GDPR-anmälningar har kommit in – här är de vanligaste misstagen

Datamyndighetens jurist Elisabeth Jilderyd berättar om de vanligaste GDPR-missarna.
Datamyndighetens jurist Elisabeth Jilderyd berättar om de vanligaste GDPR-missarna.
Efter snart fyra veckor med de nya GDPR-bestämmelserna har Datainspektionen fått in hundratals anmälningar om personuppgiftsincidenter. ”Vi ser en röd tråd i anmälningarna”, säger Datamyndighetens jurist Elisabeth Jilderyd.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Redan efter första veckan sedan de nya GDPR-bestämmelserna införts hade Datainspektionen fått in 65 anmälningar om incidenter där risken fanns att personuppgifter hamnat i fel händer.

Företag, myndigheter och organisationer larmade friskt och framför allt handlade det om misstag där det fanns risk att personuppgifter spridits till personer som inte bör ha tillgång till informationen.

Läs mer: GDPR-anmälningarna flödar in – då ska du slå larm

Nu är den siffran uppe i 228 och anmälningarna fortsätter att strömma in till Datainspektionen.

”Anmälningarna strömmar in i en ganska jämn takt. Det är både privata bolag och offentlig sektor som skickar in incidentrapporter”, säger Elisabeth Jilderyd som är jurist på Datainspektionen.

Än så länge handlar GDPR-anmälningarna om att myndigheter, företag och organisationer gjort misstag när uppgifter hamnat i fel händer. Ingen anmälning om dataintrång har ännu kommit in till myndigheten.

Läs mer: Datainspektionen inleder första GDPR-kontrollerna – de ska granskas 

De vanligaste misstagen som aktörer gör är enligt Elisabeth Jilderyd antingen att man skickat mejl som innehåller känsliga uppgifter till fel person eller att man ger tillgång till system med personuppgifter till personer som inte behöver tillgången enligt bestämmelserna i GDPR.

”Vi ser en röd tråd där. Man tilldelar behörighet i ett system med personuppgifter till en för vid krets. För många får åtkomst till känsliga uppgifter. Man måste tänka igenom om det är relevant att alla personer ska kunna komma åt informationen”, säger Elisabeth Jilderyd.

GDPR-bestämmelserna ställer krav på att aktörer måste ha dataskyddsombud som ska säkerställa att personuppgifterna är säkra hos aktören. Datainspektionen har rekommendationer för vilka aktörer som bör ha ombud.

”Alla myndigheter har den skyldigheten. När det gäller privat sektor har man den skyldigheten om man behandlar känsliga uppgifter eller sysslar med personuppgiftsbehandling som innebär kartläggning och övervakning”, säger Elisabeth Jilderyd och fortsätter:

”Behandlar man uppgifter om hälsa eller politiska uppfattningar så ska man ha ett ombud. Det gäller även bolag som kartlägger köp- eller surfvanor.”

Läs mer: Datainspektionen GDPR-utreder Google – hotas av gigantisk bot 

Lyder man inte bestämmelserna riskerar man enorma böter. Redan nu jagar Datainspektionen privata vårdgivare, kollektivtrafik, fackförbund, teleoperatörer, försäkringsbolag och banker i en första runda av tillsynsärenden. 

Just nu handlar det om att kontrollera så att myndigheter och bolag har tillsatt dataskyddsombud. Sektorerna som kontrolleras är en överenskommelse mellan de nordiska tillsynsmyndigheterna, berättar Elisabeth Jilderyd.

”Vi kom överens om att i den första tillsynsinsatsen bör vi titta på om alla har dataskyddsombud. Har man den skyldigheten så bör man ha det redan nu”, säger hon.

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies