Datainspektionen efterlyser starkare sekretess för incidenter

13 juli 2017

Datainspektionen vill att uppgifter om personuppgiftsincidenter, som företag nästa år är skyldiga att rapportera in till myndigheten, ska skyddas av starkare sekretess.

I maj nästa år träder en ny dataskyddsförordning i kraft i Sverige och övriga Europa. En nyhet är att företag, myndigheter och andra organisationer då blir skyldiga att rapportera in personuppgiftsincidenter till Datainspektionen. En sådan incident skulle till exempel kunna vara ett dataintrång på en organisations servrar, att ett usb-minne med personuppgifter tappats bort eller att någon anställd obehörigt tagit del av personuppgifter.

I en skrivelse till regeringen vill dock Datainspektionen att man nu utreder möjligheterna att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras till inspektionen vid personuppgiftsincidenter.

- Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Vi befarar att risken för it-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations it-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter, säger Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom.

I skrivelsen flaggar Datainspektionen för att det även bör utredas om det går att införa lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom hälso- och sjukvård och social omsorg.

Läs Datainspektionens skrivelse till regeringen

För mer information kontakta
Chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom, telefon 08-657 61 51
Pressekreterare Per Lövgren, telefon 070-736 10 80

RSS
Här kan du prenumerera på våra nyheter via RSS.