2023-06-10

IMY: 6 av 10 incidenter beror på mänskliga faktorn

Sett relativt till folkmängden har Sverige färre anmälningar än både Danmark och Finland.

IMY publicerar nu en rapport över de anmälningar om personuppgiftsincidenter som myndigheten tagit emot under 2022. Rapporten visar att 6 av 10 incidenter uppges vara orsakade av den mänskliga faktorn och att det faktiska antalet incidenter kan vara tre gånger så stort jämfört med det antal som rapporterats in.

I dataskyddsförordningen, GDPR, finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Det kan till exempel handla om röjda patientjournaler, kunduppgifter som lagrats på en stulen dator eller register som raderats av misstag.

IMY publicerar nu en rapport som redovisar de över 5 300 anmälningar av personuppgiftsincidenter som myndigheten tagit emot under förra året. I rapporten framgår att 6 av 10 incidenter uppges vara orsakade av mänskliga faktorn.

– En av de rekommendationer vi lyfter fram i rapporten är just att verksamheter bör vidta olika organisatoriska och tekniska åtgärder för att minska risken för misstag. Det kan till exempel handla om att tekniskt förhindra att medarbetare sparar information på exempelvis usb-minnen eller att förhindra att icke godkända program och appar kan installeras på verksamhetens datorer eller mobiltelefoner, säger Andrea Amft som är analytiker på IMY.

I årets rapport jämförs för första gången antalet anmälningar som IMY tagit emot mellan 2019 och 2022 med motsvarande siffror för övriga nordiska länder. Jämförelsen visar att Danmark är det land som har flest anmälda personuppgiftsincidenter, följt av Sverige och Finland. Sett relativt till folkmängden har Sverige färre anmälningar än både Danmark och Finland. Förra året rapporterade verksamheterna i Danmark tre gånger så många incidenter, och i Finland dubbelt så många, som Sverige sett till folkmängden.

– Baserat på de här siffrorna drar vi slutsatsen att det sannolikt rapporteras betydligt färre incidenter till IMY än det faktiska antalet incidenter. Det kan handla om så många som 10 000 ytterligare incidenter årligen som borde rapporteras till oss men antingen aldrig upptäckts eller som vi inte får anmälningar om, säger Andrea Amft.

I och med det förändrade säkerhetsläget med krig i Europa och Sveriges ansökan om medlemskap i Nato fanns det farhågor att Sverige skulle drabbas av fler cyberangrepp. IMY:s undersökning visar dock att antalet inrapporterade antagonistiska angrepp minskade jämfört med föregående år.