Sedan dataskyddsförordningen GDPR infördes 2018 har verksamheter som hanterar personuppgifter en skyldighet att rapportera incidenter till Datainspektionen. Det kan handla om att personuppgifter har röjts så att obehöriga fått ta del av dem.
2019 anmäldes totalt 4 800 personuppgiftsincidenter till Datainspektionen. Det motsvarar 400 per månad, att jämföra med 320 per månad under 2018.
Den offentliga verksamheten, i synnerhet hälso- och sjukvården och de statliga myndigheterna, står för den största ökningen. Mellan 2018 och 2019 steg antalet rapporterade incidenter per månad inom sjukvården från 26 till 55, vilket innebar den största procentuella ökningen bland olika samhällssektorer.
– Statliga myndigheter och sjukvården driver den här utvecklingen, det är där det ökar mest. Det är vår tolkning att man har blivit bättre på att både identifiera och anmäla incidenter, vilket man inte har i de andra sektorerna, säger Christina Torell, analytiker på Datainspektionen, till Läkartidningen.
Då är uppgången ett tecken på något bra?
– Ja, det tycker jag absolut. För lärandet och för att bli bättre måste man identifiera, anmäla och framförallt åtgärda problemen.
Även om rutinerna har blivit bättre bedömer Datainspektionen att det finns ett stort mörkertal av anmälningspliktiga incidenter. Det baseras på jämförelser med andra länder där anmälningsplikten funnits längre.
När det gäller olika typer av incidenter står obehörigt röjande av uppgifter för ungefär tre fjärdedelar av fallen. Vanligast är brev- och mejlutskick som gått till fel personer. Obehörig åtkomst av uppgifter, såsom att någon utan lov tagit del av personlig information, står för en knapp femtedel av incidenterna.
Den absolut största orsaken till felen är den mänskliga faktorn som ligger bakom 70 procent av fallen. Bristande organisation står för 11 procent och tekniska fel för 8.
Efter de statliga myndigheterna och hälso- och sjukvården kommer exempelvis socialtjänst och skola, som vardera ökade med tio anmälningar per månad.
Datainspektionen inledde under 2019 tillsynsärenden gällande den stora dataläckan hos 1177 Vårdguiden, då miljoner telefonsamtal låg oskyddade på internet. Granskningen omfattar sex tillsynsärenden som bland annat rör regionernas behandling av personuppgifter. Det har inte haft någon större påverkan på uppgången i anmälda incidenter 2019.
Läs även:
Jätteläcka av patientdata – miljontals bilder på öppna servrar
