Ett bolag råkade av misstag dela en fil innehållande mycket känsliga uppgifter om 52.000 personers ekonomiska förhållanden. Efter en tillsyn av IMY utfärdar myndigheten en sanktionsavgift på 500.000 kronor.
Att tappa kontrollen över sina personuppgifter är mycket allvarligt och kan leda till irreparabla skador för den enskilde individen. Därför ställs det mycket höga krav på informationssäkerhet när man delar mycket känsliga personuppgifter vare sig det sker på pappar eller elektroniskt.
I beslutet hänvisas det till artikel 32 (under avsnitt 2 Säkerhet för personuppgifter). I en kommentar till artikel 32 sägs det att ”den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när så är lämpligt
a) pseudonymisering och kryptering av personuppgifter
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen- och tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet” (Dataskyddsförordningen – en kommentar, Sören Öman, s.432-434).
Vid en överföring av känsliga eller mycket känsliga personuppgifter ska den personuppgiftsansvarige och personuppgiftsbiträdet särskilt beakta de risker som är förknippade med överföringen. I det ingår att försäkra sig om att informationen är korrekt men också att rätt mottagare får del av informationen. Både den personuppgiftsansvarige och personuppgiftsbiträdet har ansvar för att överföringen sker på ett korrekt sätt. Man är också skyldig att se till att man använder rätt metoder och lämplig teknik för överföringen.
Genom att implementera ett Ledningssystem för informationssäkerhet (LIS) som följer ISO 27000 och utbilda all personal i informationssäkerhet kan en organisation säkerställa att den här typen av misstag kan undvikas. Det är ytterst styrelsen, i ett aktiebolag, som ansvarar för att Dataskyddslagstiftningen följs genom att strategiskt och operativt ge ledningen förutsättningar att utveckla och arbeta med informationssäkerhetsfrågorna i organisationen. Ansvaret kan inte delegeras neråt i organisationen. Samtidigt behöver medarbetare som har till uppgift att övervaka att dataskyddslagstiftningen agera om man ser en felaktig hantering av personuppgifter genom att upplysa bolagsledningen som i sin tur har ansvaret att upplysa styrelsen. Om styrelsen därefter inte agerar kan enskilda styrelseledamöter kan göras personligen skadeståndsskyldiga mot bolaget och aktieägarna vid allvarliga brister i informationssäkerheten.