I dataskyddsförordningen, GDPR, som trädde i kraft den 25 maj 2018 finns en skyldighet för företag, myndigheter och andra organisationer att anmäla vissa personuppgiftsincidenter till Datainspektionen. En motsvarande skyldighet finns i brottsdatalagen för brottsbekämpande myndigheter.

Av de totalt knappt 4 800 anmälningar om personuppgiftsincidenter som anmäldes till Datainspektionen under 2019, utgjordes över 400 stycken, 8,7 procent, av incidenter som uppges bero på it-angrepp.

Det är vanligt att de anmälda it-angreppen har genomförts genom breda nätattacker utan specifik mottagare. En vanlig metod för att komma åt information är nätfiske som innebär att mottagarna via ett mejl klickar på en länk och leds till en falsk webbplats, där de uppmanas att ange uppgifter.

– Av anmälningarna framgår att många mottagare faktiskt klickar på länkar i den typen av mejl, vilket understryker behovet av organisatoriska skyddsåtgärder som utbildning, information och löpande påminnelser om hur vanliga it-angrepp går till.

Syftet med rapporten är att beskriva generella mönster och iakttagelser från inflödet till Datainspektionen samt att ge ett underlag som privata och offentliga verksamheter kan använda i sitt fortsatta dataskyddsarbete och bidra till en generell kunskapshöjning om integritet och dataskydd.