Vad innebär obehörig åtkomst?

Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång. Obehörig åtkomst kan vara intern eller extern, och kan ske oavsiktligt eller avsiktligt.

Att någon tekniskt har behörighet till personuppgifter i ett it-system innebär inte nödvändigtvis att personen även har befogenhet att ta del av alla personuppgifter i it-systemet. Om personen tar del av personuppgifter som den inte har rätt att ta del av – genom att den tekniska behörigheten gjorts vidare än den egentliga befogenheten – innebär detta att en obehörig åtkomst har skett. Anledningen till detta kan vara att den personuppgiftsansvariga inte tekniskt har begränsat personalens behörighet till personuppgifter i it-systemet.