Taggat med: personuppgiftsincident

Skatteverket varnar för personuppgiftsincident

Skatteverket gick precis ut med ett meddelande gällande en personuppgiftsincident (se meddelandet nedan). Metoden kallas för andrahandsinloggning och innebär att du ”lånar ut” din inloggning mot Skatteverket, eller din bank. Redan för två veckor sedan gick Skatteverket ut och varande för denna typ av inloggning:

Vi vill varna för detta. Den som med sitt BankID släpper in ett företag ger samtidigt åtkomst till all information om sig själv och alla e-tjänster. Logga inte in mot Skatteverket på något annat sätt än personligen med e-legitimation via Skatteverket.se, säger Pär Rylander, säkerhetschef på Skatteverket.

Meddelandet som idag gick ut ser ut enligt följande:

Hej!

Skatteverket vill informera dig om en händelse som rör personuppgifter. Du behöver inte göra något efter att ha läst brevet, utan det är bara avsett som information.

Om du har besökt Telenors webbplats under de senaste månaderna kan du ha ombetts att logga in till Skatteverket med din e-legitimation, för att förenkla ditt ärende hos dem. Vad du inte fick veta var att Telenors underleverantör Identitrade AB, via sin tjänst Identiway, i och med det skaffade sig tillgång till information om dig som finns på Skatteverkets Mina sidor. Det vill säga var du bor, vilken inkomst du haft under året med mera. Skatteverket ser allvarligt på detta. Den tekniska möjligheten att dela information på det sättet finns visserligen, men det är inte tillåtet att använda den.

Du kan även ha ombetts att logga in till Skatteverket via något annat företags webbplats. Vi är i så fall tacksamma om du kontaktar oss.

Skatteverkets åtgärder

Skatteverket har sedan den 5 juni spärrat Telenors och Identitrade AB:s möjlighet att få tillgång till dina uppgifter, och enligt våra samtal med Telenor finns inget som tyder på att uppgifterna som har hämtats har spridits vidare. Skatteverket har också anmält händelsen till Datainspektionen. Vi beklagar det som hänt.

På www.e-legitimation.se kan du läsa om hur du själv kan bidra till att undvika den här typen av situationer.

Om du har frågor

Om du har frågor om händelsen ber vi dig att kontakta Telenor, www.telenor.se/id. Om du har frågor om Skatteverkets personuppgiftsbehandling är du välkommen att mejla till [email protected].

Vänliga hälsningar,
Skatteverket

Uppdatering: Nu har även DN skrivit om incidenten.

GDPR och kryptering

GDPR

En sökfråga som dyker upp då och då dyker upp här på Kryptera.se är GDPR och kryptering. Så varför inte ta tag i detta och ställa några frågor till Jonatan Seeskari som är specialist på GDPR och jobbar på Advokatfirman Lindahl.

Jonatan skriver följande gällande GDPR och kryptering:

”GDPR ställer inte absoluta krav på kryptering av personuppgifter. Det nya regelverket innehåller dock omfattande krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter (t.ex. hälsa).

Som du kanske känner till så finns det också nya koncept kring ”inbyggt dataskydd” och ”dataskydd som standard”. I grunden kan kryptering användas som ett verktyg av flera tillgängliga för att uppnå kraven på sådana tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna.

Krypterade personuppgifter kan även underlätta hanteringen av incidentrapportering och behandling av personuppgifter för nya ändamål i och med att GDPR innehåller vissa undantag för dessa situationer – under förutsättning att personuppgifterna är krypterade.”

Tittar vi vidare förordningstexten för dataskyddsförordningen så förekommer ordet ”kryptering” tre gånger:

Artikel 6

Laglig behandling av personuppgifter

”Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Avsnitt 2 – Säkerhet för personuppgifter

Artikel 32

Säkerhet i samband med behandlingen

”a) pseudonymisering och kryptering av personuppgifter,”

Artikel 34

Information till den registrerade om en personuppgiftsincident

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.”