Den nya Dataskyddsförordningen (GDPR), som träder i kraft 25 maj 2018, för med sig en skyldighet för företag och organisationer att rapportera personuppgiftsincidenter till Datainspektionen. En personuppgiftsincident kan exempelvis vara ett dataintrång eller annan obehörig tillgång till personuppgifter.
Datainspektionen har, i en skrivelse till Regeringen, begärt en utredning avseende möjligheten att ändra offentlighets- och sekretesslagen i syfte att stärka sekretessen kring den information som rapporteras till Datainspektionen vid en personuppgiftsincident.
”Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Vi befarar att risken för IT-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations IT-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter” säger Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom.
I tillägg flaggar Datainspektionen även för att det bör utredas om det går att införa lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom social omsorg, hälso- och sjukvård.
Se http://www.datainspektionen.se/Documents/2017-07-13-skrivelse-sekretess.pdf eller kontakta en IT-advokat för mer information om Datainspektionens skrivelse.