Dataombudsmannens byrå har redan fått in 2700 anmälningar om personuppgiftsincidenter
Anmälningsskyldigheten för organisationer började i maj 2018, då EU:s allmänna dataskyddsförordning började tillämpas. Dataombudsmannens byrå har upptäckt att anmälningströskeln varierar mellan olika organisationer.
En anmälan om personuppgiftsincident ska göras till dataombudsmannens byrå, om incidenten kan medföra en risk för människors rättigheter och friheter. Vid riskbedömningen gäller det att ta hänsyn till bland annat vilka slags personuppgifter det handlar om och hur allvarliga konsekvenserna av personuppgiftsincidenten kan bli.
Vid en riskbedömning i anslutning till en personuppgiftsincident ska risken som orsakas den registrerade granskas. Det handlar inte om en bedömning av affärsrisk, trots att den risk som orsakas den registrerade indirekt också kan vara en affärsrisk.
Efter att personuppgiftsansvariga har anmält en personuppgiftsincident till dataombudsmannens byrå, kan de få rådgivning om skyddet av personuppgifter och huruvida personerna som är föremål för personuppgiftsincidenten ska informeras om den. Vid behov kan dataombudsmannen ålägga organisationen att iaktta skyldigheter i enlighet med dataskyddsförordningen.
Anmälningarna bedöms i allmänhet från fall till fall, men den personuppgiftsansvariges verksamhet kan även betraktas som en helhet. Eftersom de personuppgiftsincidenter som anmälts till dataombudsmannens byrå sinsemellan är mycket olika, är det krävande att ge allmän handledning om riskbedömningen och behandlingen av incidenterna.
Anmälningströskeln varierar mellan organisationer
Dataombudsmannens byrå har upptäckt att anmälningströskeln varierar beroende på organisation. Anmälningsrutinerna kan vara mycket olika även inom en och samma bransch.
Antalet anmälningar som kommit in från organisationer är inte nödvändigtvis ett tecken på ett bristfälligt skydd av personuppgifterna. Anmälningarna kan också tyda på att organisationer känner till skyldigheterna i dataskyddslagstiftningen och om personuppgiftsincidenter. Flest anmälningar har inkommit från reglerade branscher, särskilt hälso- och sjukvårdssektorn, finanssektorn och telebranschen.
Antalet anmälda personuppgiftsincidenter varierar också mellan olika EU- och EES-länder. Antalet anmälningar som gjorts i Finland har varit snarlikt antalet i Sverige. Dataskyddsmyndigheterna följer och analyserar hur situationen utvecklas.
Organisationer måste förbättra sin beredskap gällande nätfiskemeddelanden
Nätfiskeförsök efter Office 365 -koder är fortfarande mycket vanliga och medför personuppgiftsincidenter. Nätfiskeförsök per e-post riktas mot såväl privatpersoner som organisationer.
Nätfiskemeddelanden är ofta skickligt utformade. Meddelandena och webbplatserna som länkar i dem leder till kan se helt riktiga ut och förefalla komma från den egna organisationen.
Organisationerna borde förbereda sig på nätfiskemeddelanden genom att regelbundet utbilda ledning och anställda. Organisationer borde tydliggöra vilka slags i tjänster eller webbplatser organisationsmedlemmarna kan mata in användarnamn och lösenord. Personalen bör också ges råd om hur riktigheten i URL-adresser kan kontrolleras.
Även dataskyddsegenskaperna i applikationer borde utnyttjas bättre än i nuläget. De registeransvariga borde ta i bruk informationssäkerhets- och loggningsegenskaper i Azure AD och O365 samt Exchange-tjänsten. Standardinställningarna är inte tillräckliga i sådana personuppgiftsincidenter där man i efterhand försöker utreda händelseförloppet och vilka slags personuppgifter som har läckt ut från organisationen till attackerarna.
Mer information:
dataombudsman Reijo Aarnio, tfn 040 520 7068, reijo.aarnio(at)om.fi
Personuppgiftsincidenter
Anmälan om personuppgiftsincident
Cybersäkerhetscentrets webbplats