Dataläckan hos Miljödata – arbetsgivarens ansvar och dataskyddsombudets roll
När en systemleverantör som Miljödata utsätts för ett cyberangrepp får det stora konsekvenser för både arbetsgivare och anställda. I det aktuella fallet har över en miljon svenskars personuppgifter spridits, vilket innebär risk för bedrägerier och identitetsstölder. Det understryker vikten av att arbetsgivare tar sitt ansvar för att säkerställa en korrekt hantering av personuppgifter och att ett dataskyddsombud finns på plats för att övervaka efterlevnaden av GDPR. Arbetsgivaren (den personuppgiftsansvarige) måste också kunna visa att leverantören har adekvata tekniska och organisatoriska säkerhetsåtgärder, inklusive kryptering, åtkomstkontroll och loggning, samt att rutiner för rensning av personuppgifter faktiskt efterlevs.
Vad innebär arbetsgivarens ansvar?
En arbetsgivare är alltid personuppgiftsansvarig för de uppgifter som behandlas om anställda, även när behandlingen sker genom en extern leverantör som tillhandahåller exempelvis ett HR-system. Det betyder att arbetsgivaren måste säkerställa att leverantören uppfyller kraven i GDPR, bland annat genom att ingå personuppgiftsbiträdesavtal, följa upp säkerhetsåtgärder och se till att endast nödvändiga uppgifter behandlas.
I dataläckan hos Miljödata väcks frågor om varför så stora mängder information bevarats under lång tid. Enligt principen om lagringsminimering i artikel 5.1 e GDPR får personuppgifter inte sparas längre än nödvändigt. Det är därför anmärkningsvärt att uppgifter om personer som endast arbetat en kort period för många år sedan fortfarande fanns kvar i systemet. Här brister många HR-system i praktiken: saknade rutiner för att radera personuppgifter gör att tidigare anställda ligger kvar i ‘arkiv’ i åratal. Detta är svårt att motivera enligt kravet på lagringsminimering och kan adresseras med dokumenterade rutiner för radering samt löpande uppföljning.
Skadestånd eller ersättning när uppgifter hamnar på darknet
När personuppgifter sprids på darknet innebär det typiskt att läckta dataset säljs eller delas i slutna forum. Risknivån påverkas av vilken data som exponerats (personnummer, kontaktuppgifter, anställningsdata) och om materialet kan kopplas mot andra källor för att skapa en bredare profil.
När känsliga personuppgifter sprids på darknet ökar risken avsevärt för bedrägerier, identitetsstölder och otillbörliga kontakter. Den som drabbas kan enligt artikel 82 GDPR ha rätt till skadestånd om behandlingen skett i strid med förordningen. För arbetsgivare är det avgörande att agera snabbt vid en personuppgiftsincident, bland annat genom att anmäla till Integritetsskyddsmyndigheten (IMY), informera de registrerade och vidta åtgärder inklusive att ställa krav på leverantören.
Dataskyddsombudets roll vid en personuppgiftsincident
Dataskyddsombudet har en central funktion vid en incident av detta slag. Ombudet ska ge råd till den personuppgiftsansvarige (arbetsgivaren), övervaka att dataskyddsförordningen följs och utgöra kontaktpunkt mot IMY. En viktig uppgift är också att kontinuerligt granska hur leverantörer hanterar personuppgifter och att se till att risker identifieras i tid. Detta blir särskilt relevant i ljuset av NIS2-direktivet, som kommer att ställa högre krav på säkerhet och rapportering.
Lärdomar från Miljödata-incidenten
Dataläckan visar att det inte finns några genvägar i dataskyddsarbetet. Arbetsgivare måste ta ansvar för att uppdatera sina processer, rensa gamla personuppgifter och säkerställa att leverantörer lever upp till kraven i GDPR. Tidigare händelser, som Tieto-incidenten, visar att detta inte är en engångsföreteelse utan ett återkommande problem. Ett strukturerat arbete med dataskydd är därför en nödvändighet – inte en valmöjlighet.
Hur vi kan hjälpa till
Vi på Morling Consulting bistår med rådgivning i frågor som rör dataskydd och IT-säkerhet. Våra GDPR-konsulter kan stötta er med allt från upprättande av personuppgiftsbiträdesavtal till incidenthantering och kommunikation med IMY. Vi säkerställer att ert dataskyddsarbete är i linje med GDPR.
Är ni drabbade av något liknande och behöver omedelbart stöd? Vi hjälper till med att ta fram IMY-anmälan, information till de registrerade, ställa krav på personuppgiftsbiträdet och material för rapportering till styrelsen.
