Varje dag anmäls 15 dataskyddsfall till DO men många fall förblir oanmälda – du kanske inte får veta när dina uppgifter har läckt

Det är nuförtiden obligatoriskt att anmäla allvarligare fall där dataskyddet kan ha äventyrats, påminner dataombudsmannen (DO). Samtidigt vet organisationer ofta inte vilka alla personuppgifter som kan ha hamnat på villovägar.

– Vi får nu in ungefär 15 anmälningar om personuppgiftsincidenter dagligen. Det är ganska mycket och ett tecken på att det är vanligt med dataskyddsproblem, säger dataombudsman Reijo Aarnio.

Dataombudsmannens byrå uppskattar att den kommer att få information om närmare 3 600 fall det här året. Det är en ökning med 60 procent jämfört med i fjol.

Mörkertalet tros ändå vara stort. Det här trots att EU:s dataskyddsförordning, som trädde i kraft i fjol våras, kräver att sådana här incidenter anmäls om de "kan äventyra personers rättigheter och friheter".

Personuppgifter är all information som direkt eller indirekt kan knytas till en person. Det kan till exempel handla om namn, e-postadress, telefonnummer och personnummer.

Efter att Yle förra veckan berättade om två phishingfall som drabbade Esbo stad och Finnair så konstaterade flera experter att det troligen bara är en liten del av personuppgiftsincidenterna som anmäls.

Dataombudsmannen säger att han är oroad över att många inte anmäler trots att de borde göra det.

– Ibland har det till och med kommit kommentarer, särskilt från näringslivet, om att det är helt dumt att anmäla, säger Aarnio.

Kan ha stor betydelse för oss finländare

Han betonar ändå att de som anmäler kan få gratis hjälp av myndigheten och att det definitivt lönar sig att anmäla. Det här säkerställer också att fler personer som kan ha drabbats av en hög risk faktiskt varnas.

– Det handlar om att värna om sina kunder, om medborgarna eller om föreningsmedlemmarna. Om dataskyddet äventyras så kommer det oftast fram på ett eller annat sätt, förr eller senare, påpekar han.

De flesta anmälda personuppgiftsincidenter har hittills gällt organisationer som har med hälsovård eller finanstjänster att göra.

Det kan till exempel handla om mänskliga misstag där personuppgifter skickas till fel mottagare, eller om mjukvaruproblem där information avslöjas till en större grupp än vad som var meningen.

Men på sistone har det ofta handlat om dataintrång.

Usel koll i systemen

Reijo Aarnio är kritisk till att många organisationer har dålig koll på vilka filer och e-postmeddelanden användarna öppnar. Datasystemen är ofta bristfälliga, säger han.

– De är designade, byggda och utförda på ett dåligt sätt. Systemen saknar till exempel nödvändiga loggfiler och olika slags dataskyddselement, säger han.

I praktiken innebär det att det är svårt att veta vilken information som kan ha stulits i samband med dataintrång. Då blir det svårt för dataskyddsmyndigheten att avgöra vilka personer som kan ha drabbats av en hög risk, och därmed borde varnas.

– Det är ett dåligt svar att vi har hackats men att vi inte vet vad som har hänt, konstaterar han.

Det här var fallet till exempel vid Esbo stad, som Svenska Yle berättade om förra veckan. Staden hade inte någon helhetsbild över vad inkräktarna hade tittat på i stadens IT-system.

Sanktioner är möjliga, för vissa

Dataskyddsmyndigheten har rätt att utfärda sanktionsavgifter till aktörer som bryter mot EU:s dataskyddsförordning (GDPR) och de första sådana här sanktionerna i Finland är att vänta ännu i år.

De personer som konkret jobbar med det här började sitt arbete i slutet av förra månaden.

Sanktionsavgifterna för att inte följa GDPR kan vara stora – som mest 20 miljoner euro eller fyra procent av den globala omsättningen.

I Sverige fick till exempel ett gymnasium i Skellefteå tidigare i år en sanktionsavgift på motsvarande 18 500 euro efter att skolan hade prövat på att registrera elevers närvaro med hjälp av ansiktsigenkänning.

I Finland är ändå den offentliga sektorn undantagen sanktionsavgifter, enligt vår nationella lagstiftning.

Kritiker hävdar att det i praktiken innebär att den offentliga sektorn i Finland kan bry sig mindre om dataskyddet eftersom den inte riskerar sanktionsavgifter när den bryter mot reglerna.