När EU:s nya regler om dataskydd träder i kraft nästa år kommer företag, myndigheter och andra organisationer att vara skyldiga att rapportera så kallade personuppgiftsincidenter till Datainspektionen.
En incident kan till exempel vara ett dataintrång eller annan typ av avancerad cyberattack mot en organisations servrar.
Även enklare, och vanligare, incidenter som till exempel ett borttappat usb-minne som innehåller personuppgifter räknas till kategorin incidenter som behöver rapporteras in till Datainspektionen.
Då många personuppgifter är av känslig natur uppmanar Datainspektionen nu regeringen att utreda möjligheterna till att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras in till myndigheten.
– Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Vi befarar att risken för it-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations it-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter, säger Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom i ett pressmeddelande från myndigheten.
I skrivelsen till regeringen anger Datainspektionen att man bör utreda huruvida det går att införa lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom hälso- och sjukvård och social omsorg.
