I brottsdatalagen, som trädde i kraft i augusti 2018, finns en skyldighet för berörda myndigheter att rapportera vissa personuppgiftsincidenter till Datainspektionen. En sådan incident har inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Även om en incident inte är tillräckligt allvarlig för att anmäla till Datainspektionen så ska den dokumenteras av den berörda myndigheten.

– Brottsbekämpande myndigheter hanterar ofta stora mängder personuppgifter som dessutom kan vara känsliga. Då är det viktigt att det finns fungerande rutiner på plats för att upptäcka och rapportera eventuella incidenter samt begränsa konsekvenserna för de berörda personerna, säger Jonas Agnvall som är jurist på Datainspektionen och som deltagit i granskningen.

Datainspektionen har granskat sammanlagt sju brottskämpande myndigheter: Polisen, Ekobrottsmyndigheten, Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket. Det som undersökts är myndigheternas förmåga att upptäcka personuppgiftsincidenter, att hantera eventuella incidenter, att dokumentera incidenter och vilken information och utbildning personalen fått vad gäller personuppgiftsincidenter.

På det hela taget ser myndigheternas rutiner för personuppgiftsincidenter bra ut.  Datainspektionen avslutar granskningen med att ge ett antal rekommendationer till respektive granskad myndighet, som exempelvis att regelbundet utvärdera åtgärderna för att upptäcka incidenter, regelbundet kontrollera att rutinerna följs och regelbundet informera personalen om hur personuppgifter ska hanteras och rapporteras. Rekommendationer är en av de förebyggande och korrigerande åtgärder som myndigheten kan använda enligt brottsdatalagen.

– I arbetet med personuppgiftsincidenter är det viktigt med återkommande uppföljningar och utvärderingar, det gäller inte bara för brottsbekämpande myndigheter utan för alla organisationer som hanterar personuppgifter.