GDPR Med nuvarande regler blir de incidentrapporter som ska lämnas in till Datainspektionen när den kommande dataskyddsförordningen börjar gälla offentliga. Datainspektionen rekommenderar nu regeringen att se över offentlighets- och sekretesslagen.
Enligt dataskyddsförordningen ska information om intrång lämnas inom 72 timmar efter att intrånget kommit till organisationens kännedom. Informationen ska bl a omfatta vilka kategorier av personer och hur många som kan beröras, vilka konsekvenser intrånget kan få och vilka åtgärder man vidtagit för att motverka negativa konsekvenser. Anmälningar kan, bedömer Datainspektionen, komma att innehålla detaljerad information om tekniska och organisatoriska brister hos företag och myndigheter.
Eftersom förordningen inte reglerar frågan om sekretess är utgångspunkten att information som lämnas till Datainspektionen blir offentlig om inte annat anges i offentlighets- och sekretesslagen, OSL.
- Om någon skulle begära ut information som kommer in i samband med en data breach notification får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om den ska lämnas ut eller inte. Däremot innehåller förordningen en skyldighet för företaget eller myndigheten som drabbats av incidenten att själva lämna ut information om denna till de registrerade under vissa omständigheter, sade Elisabeth Wallin vid Datainspektionen när jag tog upp frågan för en tid sedan.
Vissa sekretessbestämmelser finns, som den om uppgifter om säkerhets- och bevakningsåtgärder avseende system för automatiserad behandling av information i 18 kap. 8 § OSL. Datainspektionen vill dock att regeringen utreder om sekretessen kan stärkas. Myndigheten bedömer bl a att offentliggöranden av säkerhetsbrister kan uppmuntra attacker och att svag sekretess kan minska benägenheten att anmäla incidenter och att beskriva dem i den omfattning förordningen kräver.
Eventuell sekretess bör enligt myndigheten även omfatta anmälningar av incidenter enligt den kommande brottsdatalagen. Datainspektionen anser också att det bör införas en generell tystnadsplikt för privata leverantörer av IT-tjänster.
- Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Vi befarar att risken för IT-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations IT-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter, säger Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom.
Läs Datainspektionens skrivelse till regeringen här.
Läs också
Sju frågetecken kring dataskyddsförordningen
Datainspektionens svar om dataskyddsförordningen
Fredrik Svärd
fredrik@svard.com
