När dataskyddsförordningen GDRP trädde i kraft infördes en skyldighet för företag, myndigheter och andra organisationer att anmäla vissa personuppgiftsincidenter till Integritetsskyddsmyndigheten (Imy). En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter.

Enligt en ny rapport från Imy anmäldes totalt anmäldes 5 767 personuppgiftsincidenter till myndigheten under förra året. Det är en ökning med 26 procent jämfört med 2020.

Imy konstaterar samtidigt att andelen incidenter som beror på obehörig åtkomst eller »antagonistiska angrepp«, det vill säga att någon bryter sig in i ett IT-system utan användarens samtycke eller vetskap, minskat inom de flesta sektorer jämfört med 2020.

Men i kommunal sektor och i hälso- och sjukvården är utvecklingen en annan. I dessa sektorer har andelen incidenter som beror på obehörig åtkomst ökat jämfört med 2020.

För hälso- och sjukvården syns också att andelen IT-angrepp ökat väsentligt, från 3 procent av incidenterna 2020 till 14 procent i fjol.

– Eftersom hälso- och sjukvården i stor utsträckning hanterar känsliga personuppgifter riskerar en incident att medföra stor skada för de registrerade. Det är därför viktigt att ta riskerna för IT-angrepp på allvar, säger Andrea Amft, analytiker på Imy, i ett pressmeddelande.

Totalt sett var dock den vanligaste typen av personuppgiftsincidenter förra året felaktiga utskick av brev, mejl eller sms som innehåller personuppgifter som oavsiktligt hamnat hos fel mottagare. Den typen av incidenter stod för 36 procent av alla anmälningar.

Precis som tidigare år är den vanligaste orsaken till personuppgiftsincidenter den mänskliga faktorn som ligger bakom nästan 60 procent av samtliga anmälda incidenter.

Hela rapporten om personuppgiftsincidenter finns att ta del av på Imy:s webbplats.