Staden röjde 900 namn i mail om datasäkerhet

Stockholms stad röjde 900 mailadresser i mail om datasäkerhet
Missen gjorde att omkring 900 mailadresser röjdes av trafikkontoret.
I ett massutskick missade trafikkontoret i Stockholm stad att dölja de 900 mottagande mailadresserna. Något som vanligtvis görs med hänsyn till den personliga integriteten.
Inget lagbrott men ironiskt eftersom mailet innehöll information om nya dataskyddslagen GDPR som träder i kraft den 25 maj.

För att förbereda inför den nya dataskyddslagen inom EU – förkortat GDPR – skickade trafikkontoret ut ett informationsmail till personer som tidigare registrerat sig för en webbtjänst som gör det möjligt att prenumerera på öppen väg- och trafikinformation i Stockholms stad.

I mailet förklaras att hanteringen av personuppgifter och specifikt mailadresser skärps efter GDPR:s införande den 25 maj.

Mottagarna hänvisas att maila om de redan nu vill ta bort sin mailadress från trafikkontorets register. Samtidigt garanteras att adressen aldrig lämnas ut till tredje part.

”Olycklig ironi”

Problemet? I mailets mottagarrad syns de cirka 900 mottagaradresserna öppet.

En halvtimme senare skickar trafikkontoret ett nytt mail där de ber om ursäkt för missen och mottagarna uppmanas att radera det föregående mailet.

Inget lagfel har begåtts, men Jan Alberts, IT-chef på trafikkontoret är medveten om det motsägelsefulla misstaget.

– Det blir ju en olycklig ironi när misstaget sker i samband med ett utskick om just personuppgiftshantering.

Han lyfter fram den mänskliga faktorn som anledning.

– Misstag det gör man. Vi har informerat internt om det här och personen som skickade mailet är djupt bedrövad.

Kommer det få några vidare konsekvenser?

– Nej, inte mer än att vi kan använda det här i utbildningssyfte när vi utbildar de anställda i hur GDPR kommer att fungera.

De nya reglerna

Om mailet i stället skickats efter den 25 maj – då lagen införs – hade läget varit annorlunda.

Då hade trafikkontoret varit skyldiga att anmäla en så kallad personuppgftsincident till Datainspektionen och sedan vidta åtgärder för att hindra informationsläckan i största möjliga mål.

GDPR ersätter nuvarande personuppgiftslagen och en av de största skillnaderna är att företag och organisationer måste ha en process för att radera lagrade personuppgifter som inte längre behövs. En annan är privatpersoners makt över sin egen information och tanken är att rätten att bli ”glömd” ska stärkas.

Fakta

GDPR

GDPR liknar på många sätt de regler som redan finns i personuppgiftslagen och mycket kommer att vara oförändrat.

Men här är en del nyheter som kommer med införandet den 25 maj:

  1. När uppgifter behandlas med stöd av samtycke, ska den registrerade ha rätt att få ut de uppgifter man själv lämnat för att föra över dem till en annan tjänst, det kallas dataportabilitet.
  2. Om det inträffar en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, måste lämna in en anmälan om personuppgiftsincident till Datainspektionen inom 72 timmar
  3. Vissa organisationer och myndigheter som behandlar känsliga uppgifter måste utse en person i organisationen som har till särskild uppgift att bevaka dataskyddsfrågor, ett så kallat dataskyddsombud.
  4. Datainspektionen kan komma att utdöma en sanktionsavgift för den som bryter mot GDPR:s regler. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.
  5. I personuppgiftslagen finns en förenklad regel för behandling av personuppgifter i löpande text och enkla listor – missbruksregeln. Den innebär att man får behandla uppgifter i vissa situationer så länge det inte är kränkande för någon. Den här regeln försvinner när GDPR träder i kraft.

När och för vem gäller GDPR?

För alla som behandlar personuppgifter, både när man själv bestämmer över behandlingen som personuppgiftsansvarig och när man utför den på uppdrag av någon annan som personuppgiftsbiträde.

Källa: Datainspektionen