Omfattande person­uppgifts­incident hos Miljödata

På eftermiddagen den 26 augusti hade ett hundratal anmälningar om incidenten kommit in till IMY från drabbade verksamheter. Utifrån en första bedömning av anmälningarna är bilden att angriparen har krypterat personuppgifter så att verksamheterna inte har tillgång till dem, men att det för anmälarna inte är känt hur uppgifterna i övrigt har påverkats. Det rör sig i många fall om uppgifter om anställda, exempelvis hälsa och facklig tillhörighet.

Drabbade verksamheter ska göra en anmälan till IMY inom 72 timmar från att de har upptäckt en personuppgiftsincident. I de fall allt inte är känt vid anmälningstillfället, finns möjligheten att lämna in kompletterande uppgifter senare. Om incidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter har den personuppgiftsansvariga i huvudregel en skyldighet att informera de personer vars personuppgifter har påverkats.

När anmälningarna har kommit in till IMY skapar myndigheten en samlad bild av incidenten. Utifrån bland annat omfattning och typ av personuppgifter gör IMY därefter en bedömning av om man ska inleda en tillsyn.

(Texten har förtydligats vad gäller skyldigheten att informera berörda.)

Uppdatering 27 augusti kl 13.30

För närvarande har det kommit in runt 250 anmälningar. Minst 164 kommuner och 4 regioner är berörda. Även flera större privata verksamheter och universitet och högskolor är berörda av attacken.