Ingen total sekretess för incidentrapporter
Datainspektionen fick nyligen en smäll på fingrarna när de avslog en begäran om utlämnande av en incidentrapport som lämnats till dem i enlighet med dataskyddsförordningen. Enligt domstolen gäller ingen total sekretess för sådana rapporter.
Artikel 33 i dataskyddsförordningen tvingar organisationer att meddela Datainspektionen om personuppgifter som behandlas har utsatts för en säkerhetsincident som lett till att uppgifterna förstörts, förlorats, ändrats eller röjts för någon obehörig. Eftersom Datainspektionen är en myndighet blir handlingar som inkommer dit offentliga, vilket innebär att de som huvudregel ska lämnas ut. Undantaget är om det finns någon sekretessbestämmelse som bryter huvudregeln.
I juni i år gjorde Datainspektionen bedömningen att uppgifter i en incidentrapport som de fått in inte kunde lämnas ut till följd av 18 kap. 8 § 3 p. i offentlighets- och sekretesslagen, som stadgar att ”Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser telekommunikation eller system för automatiserad behandling av information.”
Grunderna för Datainspektionens beslut var bl.a. att uppgifter om vem som lämnat in en incidentrapport och när den lämnats in kan utgöra en säkerhetsrisk med tanke på att sådan information kan användas för att kartlägga den personuppgiftsansvariges förmåga att upptäcka intrång, och att även en till synes harmlös incidentanmälan potentiellt kan bilda en mer riskabel helhet i framtiden tillsammans med senare incidenter.
Beslutet överklagades, och i augusti bifölls överklagandet av Kammarrätten i Stockholm. Domstolen menade att den berörda incidentanmälan varken avsåg intrång eller brister i den personuppgiftsansvariges IT-system eller innehöll uppgifter som kunde bidra till att avslöja några sårbarheter i IT-systemet, varför sekretessgrunden i 18 kap. 8 § 3 p. inte var tillämplig. Därför skulle incidentanmälan lämnas ut i sin helhet.
En företrädare för Datainspektionen uttalade i oktober 2018 att myndigheten kommer att så långt det är möjligt undvika att lämna ut incidentanmälningar även framgent. De kommer att lämna ut incidenter som liknar den i fallet ovan samt incidenter som de personuppgiftsansvariga själva redan offentliggjort, men kommer i övrigt att ha en restriktiv hållning.
Mer information
Har du problem med att avgöra när en incident ska anmälas till Datainspektionen och inte? Vi har en rättsutredning i ämnet som kan vägleda dig, tillsammans med kompetenta rådgivare som kan svara på dina frågor. Kontakta oss på info@intechrity.se för mer information.