Diskrimineringsombudsmannen tvingas betala sanktionsavgift på 100 000 kronor efter en incident där känsliga personuppgifter blev röjda efter att de samlats in via ett webbformulär.
Integritetsskyddsmyndigheten (IMY) har granskat en personuppgiftsincident hos Diskrimineringsombudsmannen (DO). Myndigheten bedömer att DO inte vidtagit tillräckligt effektiva säkerhetsåtgärder och utfärdar en sanktionsavgift på 100 000 kronor.
Bakgrunden till granskningen är att DO anmälde en personuppgiftsincident till IMY hösten 2021.
Incidenten rörde DO:s webbformulär för insamling av tips och klagomål om diskriminering. Under IMY:s granskning framkom att DO hade vidtagit en säkerhetsåtgärd som skulle skydda personuppgifterna som samlades in via webbformuläret, så att de inte inkluderades vid användningsanalyser av DO:s webbplats.
Säkerhetsåtgärd fungerade inte fullt ut
Men enligt IMY fungerade inte säkerhetsåtgärden fullt ut, vilket medförde att en del uppgifter, som kunde vara känsliga personuppgifter, blev oavsiktligt röjda för det personuppgiftsbiträde som DO hade anlitat för att göra analyserna.
Bedömningen är att cirka 500 tips och klagomål har berörts.
Så snart DO blev medveten om det inträffade stängde myndigheten webbformuläret.
– Incidenten pågick under ett års tid och visar på vikten av att ha ett fortlöpande och systematiskt säkerhetsarbete för att tidigare kunna fånga upp otillräckliga säkerhetsåtgärder, säger Petter Flink som är it- och informationssäkerhetsspecialist på IMY.
Enligt IMY är motiveringen till sanktionsavgiften på 100 000 kronor att incidenten pågick under längre tid och kunde omfatta känsliga personuppgifter.
