I maj nästa år träder en ny dataskyddsförordning i kraft i Sverige och övriga Europa. En nyhet är att företag, myndigheter och andra organisationer då blir skyldiga att rapportera in personuppgiftsincidenter till Datainspektionen. En sådan incident skulle till exempel kunna vara ett dataintrång på en organisations servrar, att ett usb-minne med personuppgifter tappats bort eller att någon anställd obehörigt tagit del av personuppgifter.

I en skrivelse till regeringen vill dock Datainspektionen att man nu utreder möjligheterna att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras till inspektionen vid personuppgiftsincidenter.

– Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Vi befarar att risken för it-attacker mot företag, myndigheter och andra organisationer ökar redan om det genom incidentrapportering avslöjas vilken organisations it-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter, säger Datainspektionens chefsjurist och ställföreträdande generaldirektör Hans-Olof Lindblom.

I skrivelsen flaggar Datainspektionen för att det även bör utredas om det går att införa lagstadgad tystnadsplikt för personuppgiftsbiträden som behandlar känsliga personuppgifter inom hälso- och sjukvård och social omsorg.