En personuppgiftsincident ska rapporteras till tillsynsmyndigheten (i Sverige är det Datainspektionen) om incidenten bedöms medföra en risk för fysiska personers rättigheter och friheter. Datainspektionen informerar om att allt du rapporterar in blir en så kallad allmän handling, men vad händer om en incidentrapport faktiskt begärs ut?

Vad gäller i teorin?

I Sverige råder den s.k. offentlighetsprincipen, som gör att var och en har rätt att ta del av allmänna handlingar som finns hos myndigheter. Även media har rätt att begära ut och ta del av dessa handlingar. Därför är det en god idé att inte ange mer än vad som är nödvändigt i rapporten och avhålla sig från att ange företagskänsliga uppgifter.

Offentlighetsprincipen omfattar dock inte alla uppgifter, utan det finns en möjlighet för myndigheter i Sverige att belägga uppgifter med sekretess med hänvisning till Offentlighets- och sekretesslagen. Detta innebär att uppgifterna inte får lämnas ut. Datainspektionen informerar om att har ni skrivit något som ni anser bör omfattas av sekretess ska ni ange detta i fritextfältet som finns längst ned i det formulär som används för att rapportera incidenter till Datainspektionen. I fältet ska ni redogöra för vad ni menar omfattas av sekretess och varför ni menar att det omfattas av sekretess. På detta sätt uppmärksammas Datainspektionen på att något eventuellt ska beläggas med sekretess.

Begär någon ut en incidentrapport kommer Datainspektionen att genomföra en s.k. sekretessprövning, där det kommer utredas huruvida uppgifter ska att omfattas av sekretess eller inte.

Vill du läsa mer om datainspektionens namnbyte, se vårt tidigare blogginlägg ”Datainspektionen byter namn – och får även ett ändrat uppdrag”.

Vad händer om en incidentrapport begärs ut?

Vi från GDPR Hero begärde ut en incidentrapport från Datainspektionen, som i sin tur gjorde en sekretessprövning. Incidentrapporten det gällde ska ha lämnats in av Skatteverket och rörde en incident kring BankID på Telenors webbplats.

Datainspektionen gjorde bedömningen att all information kring incidentrapporten är sekretessbelagd. De inleder sitt beslut med att själva incidentrapporten inte kan lämnas ut. Detta motiverar de med att informationen i incidentrapporter som inkommer till Datainspektionen innehåller skyddsvärd information rörande säkerhetsåtgärder vilka nämns i offentlighets- och sekretesslagen (18 kap. 8 § 3). En incidentrapport kan innehålla information om att företagets eller myndighetens system är sårbart för attacker, vilket kan skada verksamheten.

Datainspektionen stannade dock inte här utan de konstaterade även att uppgifter kring vem som har lämnat in incidentrapporten kan vara sekretessbelagt. De motiverar det med att även denna uppgift kan visa på att verksamhetens säkerhetsåtgärder har brister. Till sist skrev Datainspektionen att även tiden för incidentrapportens inlämnande är en uppgift de inte lämnar ut. Detta för att sådana uppgifter kan användas för att kartlägga hur lång tid det tar för företaget eller myndigheten att upptäcka ett intrång.

Sekretessen omfattar alltså samtliga uppgifter i den begärda incidentrapporten. Datainspektionen avslutar sitt beslut med att enbart lämna information kring att en incidentrapport har inkommit till Datainspektionen från Skatteverket.

Det kan dock vara en fördel att tänka på utformningen av en incidentrapport även om denna specifika incidentrapporten är sekretessbelagd. Incidenter kan ske även hos Datainspektionen och då kan uppgifterna läcka ut!

Vill du veta mer om när och hur en personuppgiftsincident och incidentrapport ska hanteras, läs vårt tidigare blogginlägg ”Personuppgiftsincident – Du har 72 timmar på dig

 

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This