Dataintrång är ett brott enligt svensk lag. Brottet innebär att någon olovligen tränger sig in i ett datorsystem där data blir behandlad, lagrad eller överförd elektroniskt. I Sverige utgör dataintrång ett brott enligt Brottsbalken. Den som gör sig skyldig till brottet kan bli straffad med böter eller fängelse i högst två år.
Det är alltså olagligt att ge sig själv tillgång till information som är lagrad digitalt och som tillhör någon annan. Dessutom är det olagligt att ändra, ta bort eller lägga till information utan tillstånd från ägaren.
Det är viktigt att poängtera att lagen inte kräver att någon bryter sig in i ett datorsystem för att bli dömd för dataintrång. Det faktum att någon ger sig själv tillgång till systemet utan lov, utgör ett dataintrång. Detta gäller oavsett om systemet stod öppet eller inte. Anställda får inte heller göra specifika slagningar på personer som de inte arbetar med eller handlägger, genom arbetssystem.
Upptäckt dataintrång måste bli anmäld till Integritetsskyddsmyndigheten
Om ett företag eller en privatperson blir utsatt för IT-relaterade brott, exempelvis dataintrång, ska brottet genast polisanmälas. Det är viktigt att inte vänta för länge med en sådan anmälan, eftersom loggar och annan bevisning kan vara svåra att komma åt efter en längre tid.
Enligt GDPR måste alla berörda bli informerade om ett inträffat dataintrång, om det finns en risk för id-stöld eller bedrägeri. Sådana incidenter måste även bli dokumenterade och sparade internt samt rapporterade till Integritetsskyddsmyndigheten inom 72 timmar, som är tillsynsmyndighet. Det finns idag höga krav på rapportering och uppföljningsarbete vid dataintrång enligt GDPR.
Företag måste ha nödvändiga dokument och avtal enligt GDPR
Det är viktigt att känna till att företag även måste upprätta en plan för hur liknande och framtida intrång eller incidenter ska kunna bli förhindrade. Företag behöver många olika dokument och avtal enligt GDPR.
Det är en god idé att regelbundet gå igenom system och vilka personer som har behörighet och tillgång till system, införa en rutin för lösenordsbyten m.m. Företag måste även ha upprättat interna rutiner för incidenter, radering av icke nödvändiga personuppgifter och en förteckning över personuppgiftsbehandlingen. Dessutom måste det finnas en dataskyddspolicy som förklarar syftet med personuppgiftsbehandling.
Ansvar för dataskydd i företag
Företagets ledning och styrelse ska tillsammans bestämma vem i företaget som ska bära ansvaret för dataskyddsfrågor. Personen som blir utsedd är kallad för dataskyddsombud. I vissa fall kräver lagen även att företaget formellt utser ett dataskyddsombud.
Det är viktigt att tänka på att dataskyddsombudet måste ha tillräcklig kunskap om dataskydd, för att kunna besvara inkommande frågor från registrerade. Dataskyddsombudet ska även hålla koll på behandlingen av personuppgifter, så att företaget följer lagen och att parternas rättigheter och skyldigheter beaktas.
Dataskyddsombudet behöver dessutom få det stöd och de befogenheter som lagen kräver, för att denne ska kunna utföra sitt uppdrag på ett effektivt och bra sätt. Reglerna om GDPR blev införda främst för att privatpersoner ska kunna kontrollera vad företag gör med personuppgifter. Genom att alltid tänka utifrån det perspektivet, blir det enklare att avgöra om en viss personuppgiftsbehandling strider mot lagen eller inte.