En granskning från Integritetsskyddsmyndigheten (IMY) visar att DO inte vidtog tillräckliga säkerhetsåtgärder när personuppgifter samlades in via ett webbformulär för att ta emot tips och klagomål om påstådd diskriminering.
Incidenten pågick under ett års tid och resulterade i att uppgifter, inklusive känsliga personuppgifter, oavsiktligt röjdes för ett av DO:s personuppgiftsbiträden som utförde analyser av webbtrafik.
Bakgrunden till incidenten sträcker sig till september 2020 då DO lanserade ett webbformulär för att samla in tips om "diskriminering". Trots att myndigheten vidtagit vissa säkerhetsåtgärder, som kryptering och anonymisering av data, fungerade en viktig säkerhetsinställning inte som den skulle.
Bristen ledde till att personuppgifter från omkring 500 registrerade anmälares tips blev överförda till ett analysverktyg som DO hade anlitat för att förbättra användarupplevelsen på sin webbplats.
När DO uppmärksammades på säkerhetsbristen stängdes webbformuläret omedelbart den 17 september 2021, och myndigheten började vidta åtgärder för att åtgärda incidenten. Trots detta bedömde IMY att DO inte hade tillräckliga rutiner för att upptäcka och åtgärda problemet i tid.
IMY:s beslut om en sanktionsavgift på 100.000 kronor baseras på incidentens varaktighet och det faktum att de röjda uppgifterna kunde vara känsliga, inklusive information om etnisk bakgrund och sexuell läggning. IMY betonar vikten av att ha ett robust och kontinuerligt säkerhetsarbete för att undvika att sådana incidenter inträffar.
DO har nu infört nya säkerhetsåtgärder för att förhindra att en liknande incident inträffar igen.
