Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Granskning av brottsbekämpande myndigheter utökas

| Linda Kante

Nu granskar Datainspektionen Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket för att ta reda på om myndigheterna har tillräckliga rutiner för att upptäcka och rapportera personuppgiftsincidenter.

Teckna din prenumeration på Aktuell Säkerhet här 

Åklagarmyndigheten är en av de myndigheter som Datainspektionen kommer att granska.

I juni inledde Datainspektionen en granskning av Polisen och Ekobrottsmyndigheten med syfte att undersöka om myndigheterna har tillräckliga rutiner för att upptäcka och hantera personuppgiftsincidenter.

Nu utökas granskningen med övriga brottsbekämpande myndigheter. De myndigheter som nu granskas är Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket.

– För att kunna leva upp till de nya skyldigheterna i brottsdatalagen som kom förra året är det viktigt att de brottsbekämpande myndigheterna har rutiner på plats för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter. En incident som inte snabbt upptäcks och åtgärdas kan leda till risker för de medborgare som berörs. Ytterst syftar skyldigheten att anmäla personuppgiftsincidenter till att stärka integritetsskyddet, säger Paulo Zavala som är jurist på Datainspektionen och deltar i granskningen.

Den offentliga sektorn bättre på att anmäla personuppgiftsincidenter

| Linda Kante

Enligt en rapport publicerad av Datainspektionen har den offentliga sektorn blivit bättre på att göra incidentanmälningar gällande personuppgiftshantering. 

Teckna din prenumeration på Aktuell Säkerhet här  

Datainspektionen publicerar nu en rapport över de personuppgiftsincidenter som anmälts till myndigheten under perioden januari–september 2019. Rapporten visar att antalet anmälda personuppgiftsincidenter ökat under de första nio månaderna 2019. Totalt fick Datainspektionen under perioden in 3 410 incidentanmälningar, vilket motsvarar närmare 90 anmälda incidenter per vecka. Under 2018 anmäldes i genomsnitt 70 incidenter per vecka. Antalet anmälda incidenter har därmed ökat med närmare 30 procent under 2019 jämfört med 2018. Ökningen återfinns främst i offentlig sektor.

– Vår bedömning är att ökningen beror på en ökad medvetenhet och kunskap om anmälningsskyldigheten. Intrycket är att rutinerna för att anmäla incidenter nu blivit mer etablerade, i synnerhet inom offentlig sektor och större företag. Samtidigt bedömer vi att det fortfarande finns ett stort mörkertal i form av anmälningspliktiga incidenter som inte anmäls, säger Datainspektionens stabschef Karin Lönnheden.

Sammantaget står verksamheter inom offentlig sektor eller med offentligt uppdrag för nästan två tredjedelar, 64 procent, av alla incidentanmälningar som hittills inkommit under 2019. Under 2018 var motsvarande andel 46 procent.

– Att en organisation eller en bransch anmäler många incidenter behöver inte vara en indikation på bristande säkerhet. Tvärtom kan det tyda på att verksamheten har bra rutiner på plats för att upptäcka och rapportera personuppgiftsincidenter.

Polisen tillåts använda ansiktsigenkänning vid brottsutredningar

| Linda Kante

Datainspektionen har godkänt polisens tänkta användning av ansiktsigenkänning då de bedömer att den är laglig. Dock uppmanar myndigheten polisen att slå fast hur länge uppgifterna från ansiktsigenkänningen får sparas.

Teckna din prenumeration på Aktuell Säkerhet här 

Det är polisen som sträckt ut handen till Datainspektionen och begärt så kallat förhandssamråd gällande den tänkta användningen av ansiktsigenkänning mot signalementsregistret för att identifiera gärningspersoner.

I ett pressmeddelande skriver Datainspektionen att: ”polisen har ett berättigat intresse av att använda ansiktsigenkänning och att Nationellt forensiskt centrum får hantera personuppgifterna på det sätt som föreslås. Polisen har också vidtagit lämpliga åtgärder för att skydda de uppgifter som hanteras.”

Det är dock oklart hur länge de biometriska uppgifterna från ansiktsigenkänningen får sparas.

– Det är angeläget att polisen tar ställning till hur länge uppgifterna får sparas innan de startar skarpt med ansiktsigenkänningen eftersom det är viktigt ur integritetssynpunkt, säger Linda Olander, jurist på Datainspektionen.

Datainspektionen granskar Sergel inkasso

| Linda Kante

Datainspektionen inleder nu en granskning av inkassobolaget Sergel Kredittjänster AB. Granskningen är en del av myndighetens löpande kontroll av större inkassobolag.

Teckna din prenumeration på Aktuell Säkerhet här 

– Syftet med inspektionen är framför allt att granska bolagets rutiner för inkassoförfarande men vi kommer även att ta upp klagomål som vi tagit emot angående Sergel sedan den förra inspektionen 2015, säger Evelin Palmér som leder granskningen.

Granskningen genomförs som en inspektion på plats hos inkassobolaget.

Statens servicecenter granskas av Datainspektionen

| Linda Kante

Har Statens servicecenter har nödvändiga rutiner för att upptäcka och utreda personuppgiftsincidenter, det vill säga händelser där enskilda utsatts för risker på grund av att deras personuppgifter inte har skyddats tillräckligt? Det ska Datainspektionen komma fram till.

Teckna din prenumeration på Aktuell Säkerhet här 

Datainspektionen har under augusti tagit emot anmälningar om personuppgiftsincidenter från flera aktörer där obehöriga kan ha kommit åt personuppgifter från myndigheter som anlitar Statens servicecenter för sin lönehantering. Statens servicecenter har även kommit in med en anmälan som rör den egna personalens uppgifter.

– Nu inleder vi en granskning av Statens servicecenter för att bland annat undersöka om det finns brister i servicecentrets rutiner för att upptäcka och utreda incidenter, säger Elin Hallström som är jurist på Datainspektionen

Datainspektionen granskar Umeå universitet

| Linda Kante

Datainspektionen meddelar i ett pressmeddelande att de har inlett en granskning av hur Umeå universitet hanterar personuppgifter. 

Teckna din prenumeration på Aktuell Säkerhet här

Umeå universitet har, för forskning, tagit emot känsliga personuppgifter från Polismyndigheten. Enligt ett klagomål från Polismyndigheten till Datainspektionen har universitetet sedan skickat känsliga personuppgifter via okrypterad e-post.

Känsliga personuppgifter, exempelvis om hälsa, politiska åsikter eller genetiska och biometriska uppgifter, har ett extra starkt skydd i dataskyddsförordningen, GDPR. Datainspektionen ska nu granska universitetets hantering av känsliga personuppgifter med anledning av klagomålet.

Skola får betala sanktionsavgift för ansiktsigenkänning

| Linda Kante

En gymnasieskola i Skellefteå använde ansiktsigenkänning för att registrera elevers närvaro vid ett prov. Nu har Datainspektionen utfärdat en sanktionsavgift på 200 000 kronor för skolan. Det är första gången Datainspektionen utfärdar sanktion mot en aktör som brutit mot reglerna i GDPR.

Teckna din prenumeration på Aktuell Säkerhet här

Lena Lindgren Schelin, gd Datainspektionen

– Gymnasienämnden i Skellefteå har överträtt flera av bestämmelserna i dataskyddsförordningen på ett sätt som gör att vi nu utfärdar en sanktionsavgift, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen.

Sanktionsavgiften är 200 000 kronor. Avgiftens storlek påverkas bland annat av att det är frågan om en myndighet och att det handlar om ett försök under en begränsad period. Myndigheter kan maximalt få tio miljoner kronor i sanktionsavgift.

– Teknik för ansiktsigenkänning är i sin linda men utvecklingen går snabbt. Vi ser därför ett stort behov av att skapa tydlighet kring vad som gäller för alla aktörer, säger Lena Lindgren Schelin.

Biometriska uppgifter, som används vid ansiktsigenkänning, är känsliga personuppgifter som är extra skyddsvärda och som det krävs uttryckliga undantag för att få hantera. Gymnasienämnden har uppgett att man har fått elevernas samtycke till att använda ansiktsigenkänning för närvarokontroll.

– Gymnasienämnden kan inte använda samtycke i det här fallet eftersom eleverna befinner sig i  beroendeställning till nämnden, förklarar Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.

I sitt beslut konstaterar Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, varit ett intrång i deras integritet och att närvarokontroll kan göras på andra sätt som är mindre integritetskränkande än ansiktsigenkänning.

 

Datainspektionen granskar kameraövervakning på LSS-boende

| Linda Kante

I ett pressmeddelande skriver myndigheten att man ska utreda om Gnosjö kommun gör rätt som kamerabevakar en persons rum på ett LSS-boende.

Teckna din prenumeration på Aktuell Säkerhet här

Datainspektionen har tagit emot ett klagomål som rör kamerabevakning på ett LSS-boende (lagen om stöd och service till vissa funktionshindrade) i Gnosjö kommun. Enligt klagomålet ska kameran sitta på utsidan av ett fönster och vara riktad in mot rummet där en person bor. Klagomålet gör gällande att boendet uppger att den boendes familj och förvaltare har gett sitt samtycke till bevakningen.

– Nu ska vi ta reda på vilken rättslig grund som kommunen stöder kamerabevakningen på. Om kommunen stöder sig på samtycke så ska vi klargöra om det över huvud taget är möjligt att använda samtycke vid en sådan här kamerabevakning, säger Nils Henckel som leder Datainspektionens granskning.

Sverige ordförandeland i GDPR-arbetsgrupp i EU

| Linda Kante

Nu går Sverige in som ett av ordförandeländerna i den EU-arbetsgrupp som ska verka för harmonisering av sanktionsavgifter enligt dataskyddsförordningen, GDPR.

Teckna din prenumeration på Aktuell Säkerhet här

Sedan en tid tillbaka pågår ett arbete i EU för att harmonisera sanktionsavgifterna. Arbetet syftar till att skapa en enhetlig bedömning av storleken på sanktionsavgiften vid samma regelbrott, det vill säga att lika fall behandlas lika av dataskyddsmyndigheterna.

– Det är en viktig rättssäkerhetsfråga att vi får en harmoniserad tillämpning. I Sverige har vi kommit långt med våra egna nationella riktlinjer och vi tror att vi på ett konkret sätt kan bidra i arbetet på EU-nivå. Ordförandeskapet är därför en prioriterad fråga, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Arbetet bedrivs i en arbetsgrupp inom Europeiska dataskyddsstyrelsen, EDPB, där Datainspektionen nu blir ordförande tillsammans med sittande Nederländerna och Storbritannien. Datainspektionens deltagande kommer att ledas av juristen Frida Orring.

Datainspektionen granskar polisen

| Linda Kante

I ett pressmeddelande låter Datainspektionen meddela att de ska granska polisen och Ekobrottsmyndigheten och vilka rutiner de har för att upptäcka och hantera personuppgiftsincidenter. 

Förra året trädde dataskyddsförordningen och brottsdatalagen i kraft. En nyhet i båda lagstiftningarna är skyldigheten för organisationer att rapportera personuppgiftsincidenter till Datainspektionen. En sådan incident har inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer.

Nu inleder Datainspektionen en granskning av Polisen och Ekobrottsmyndigheten för att ta reda på om de två myndigheterna har dokumenterade rutiner för att upptäcka, rapportera och hantera personuppgiftsincidenter.

– Brottsbekämpande myndigheter hanterar ofta stora mängder personuppgifter som dessutom kan vara känsliga. Då är det viktigt att det finns fungerande rutiner på plats för att upptäcka och rapportera eventuella incidenter samt begränsa konsekvenserna för de berörda personerna, säger Paulo Zavala som är jurist på Datainspektionen och som deltar i granskningen.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29