Datainspektionens första nationella integritetsrapport

Det har snart gått ett år sedan GDPR trädde i kraft den 25 maj 2018, regelverket som innebär ett förstärkt skydd för individer. Mycket har hänt sedan dess och många verksamheter har fått göra stora förändringar inom sina organisationer för att försöka efterleva de nya reglerna. Även de flesta medborgarna i Sverige har inte lyckats undgå att vi har fått ett nytt regelverk för hur personuppgiftshanteringen ska gå till.

Lagom till årsdagen av GDPR:s födelsedag har Datainspektionen publicerat sin första nationella integritetsrapport. Fokus har varit att se hur långt företag, myndigheter och andra organisationer har kommit med att införa det nya regelverket. Därutöver visar rapporten bland annat även vilken kunskap och medvetenhet medborgare har när det kommer till integritets- och dataskyddsfrågor.

Inlägget syftar till att ge att axplock av rapportens innehåll, vill man läsa den i sin helhet finns den tillgänglig här.

Stor oro bland medborgare

Ungefär åtta av tio medborgare känner till dataskyddsförordningen och att den innebär förstärkta rättigheter för individen. Däremot känner sig så många som tre av fyra oroliga över hur deras personuppgifter används. Detta kan kopplas till att kunskapen om hur personuppgifter används är relativt låg då endast tre av tio anser sig ha kunskap om hur deras personuppgifter hanteras. Rapporten visar på ett samband mellan de personer som upplever sig ha kunskap om hur personuppgifterna används och att de känner sig mindre oroliga.

När de intervjuande personerna har fått svara på vilken information de anser sig mest oroliga över har de vanligaste situationerna handlat om finansiella uppgifter och hälsouppgifter. Vad gäller vilken typ av personuppgifter som personerna har ansett vara allra känsligast har personerna uppgett finansiell information, exempelvis kontokortsuppgifter. Strax över hälften av medborgarna uppger mycket eller ganska stor oro över att kriminella eller andra obehöriga kan komma åt uppgifter. En annan stor oro bland medborgare är att internetvanor och surfbeteende ska registreras och säljas vidare till andra företag för att anpassa reklam riktad till medborgaren.

Medborgarnas förtroende för hur olika verksamheter hanterar personuppgifter varierar stort. Enligt rapporten finns det störst förtroende för vårdsektorn, myndigheter och banker, medan sociala medier, sökmotorer och appar har lägst förtroende.

Verksamheternas implementering

Eftersom de nya reglerna innebär ett förstärkt skydd för individen ökar också ansvaret hos verksamheterna vad gäller deras personuppgiftshantering. Tre av fyra tillfrågade dataskyddsombud uppger att implementeringen av GDPR har fungerat bra och att exempelvis riktlinjer och rutiner har tagits fram. Det är endast en av tio som uppger att implementeringen inte har fungerat bra. Det finns en viss skillnad mellan hur privata företag och offentliga verksamheter, såsom kommuner och landsting, tycker att implementeringen har gått. De branscher som mest tycker att det har gått bra är verksamheter inom bank- och finansbranschen samt it- och telekombranschen, medan de tillfrågade dataskyddsombuden inom kommunal verksamhet inte tycker att det har gått bra med implementeringen. Generellt uppger drygt hälften av de tillfrågade dataskyddsombuden att deras verksamheter arbetar kontinuerligt och systematiskt med integritets- och dataskyddsfrågor.

Frågor och anmälningar till Datainspektionen

Från det att regelverket började gälla den 25 maj 2018 och fram till 23 april 2019 har Datainspektionen mottagit cirka 8 200 skriftliga frågor. Enligt rapporten har fördelningen varit ganska jämn mellan å ena sidan olika verksamheter och å andra sidan medborgare som exempelvis velat ha stöd i att utöva sina rättigheter. Av de ställda frågorna från verksamheter är det drygt en tredjedel som handlat om de rättsliga grunderna och avvägningar kring dessa. Av medborgarnas frågor har en fjärdedel handlat om en specifik personuppgiftsbehandling, till exempel kopplat till direktmarknadsföring och arbetsgivares hantering av de anställdas uppgifter. En annan fjärdedel av frågorna som medborgare ställt har handlat om rätten till radering där den enskilt vanligaste frågan har varit hur man som privatperson kan radera sina personuppgifter från hemsidor med utgivningsbevis som till exempel Eniro och Lexbase.

Vad gäller antalet anmälningar har Datainspektionen mottagit cirka 3 500 anmälningar om personuppgiftsincidenter under perioden 25 maj till 1 maj 2019. Bank- och finansbranschen har anmält flest incidenter och står för drygt en femtedel av alla anmälningar, däremot har de flesta av dessa anmälningar varit mindre allvarliga incidenter. Enligt rapporten behöver inte ett stort antal anmälningar betyda bristande säkerhet, utan snarare tvärtom då det kan tyda på att verksamheten har strukturer och rutiner som ger en bra grund för att upptäcka incidenter. Av anmälningarna som verksamheter inom bank- och finansbranschen har gjort, berodde över 70 procent på felaktiga brevutskick.

Hälften av samtliga anmälda incidenter har handlat om obehörigt röjande och obehörig åtkomst vilket enligt rapporten visar på svårigheter för verksamheterna att ha fungerande rutiner och processer i dataskyddsarbetet. Den vanligaste anledningen till att personuppgiftsincidenter har inträffat är den mänskliga faktorn, vilket står för sex av tio incidenter där vanliga incidenter utgörs av felskickade brev och e-postmeddelanden.

Vad händer härnäst?

Datainspektionens förhoppning är att rapporten ska kunna ge vägledning för olika verksamheter samtidigt som myndigheten själv kan ha rapporten som stöd i sin fortsatta utveckling. Till exempel kommer rapporten att vara ett viktigt underlag inför framtida tillsynsärenden och hur dessa ska prioriteras.