Personuppgiftsincident

Fel behörigheter, borttappade utskrifter och phishing – mänskliga faktorn utlöser flest personuppgiftsincidenter

3 av 5 personuppgiftsincidenter beror på den mänskliga faktorn. Felaktigt tilldelade behörigheter och phising är några vanliga händelser, vars risker skulle kunna minimeras och förebyggas genom utbildning och tydliga rutiner.

Säkerhetsincidenter som rör personuppgifter där uppgifterna exempelvis har blivit förstörda eller kommit på villovägar händer i alla organisationer. Medarbetare tappar sina jobbtelefoner, glömmer utskrifter på fel ställen eller får tillgång till information de egentligen inte ska ta del av.

Av Datainspektionens rapport Anmälda personuppgifter 2018 framgår att hela 61 % av anmälda personuppgiftsincidenter har berott på den mänskliga faktorn. Men att den mänskliga faktorn skulle kunna undvikas helt är nog en omöjlighet. Organisationer behöver istället arbeta med att minska riskerna och minimera skadorna när olyckan väl är framme.

 

Okunskap och bristande rutiner genererar personuppgiftsincidenter

En av rapportens kategorier för typer av incidenter var obehörig åtkomst där behörigheter har tilldelats felaktigt eller för brett. Det kan handla om bristande rutiner eller ouppmärksamhet hos den som har tilldelad rättigheterna. Likaså vad gäller kategorin obehörigt röjande, där information har exponerats för fel personer. Även phising – när en person, vanligtvis via mejl, ombes klicka på en länk eller logga in med sina uppgifter – uppges vara en vanlig anledning till incidenter.

Öka kunskapen hos medarbetarna och skapa förståelse för vad en personuppgiftsincident är, hur dessa situationer kan undvikas och framför allt hur rutinen ser ut när olyckan väl är framme. Genom utbildning, uppföljning och implementering av processer och rutiner kan man minska riskerna som den mänskliga faktorn för med sig.

Här kan du läsa Datainspektionens rapport 2019:1: Anmälda personuppgiftsincidenter 2018.

 


Utbildning till alla medarbetare

Goda rutiner och långsiktigt arbete kräver att alla vet hur man får hantera personuppgifter. För att göra det så enkelt som möjligt tog vi fram en e-learning i GDPR. Ett effektivt sätt att sprida kunskap och få alla med på noterna.

Läs mer om Qnisters grundkurs i GDPR här.