En personuppgift är någonting som går att koppla till en levande människa. Det kan vara till exempel livsåskådning, sexualliv eller hälsa.

Sådana uppgifter skyddas sedan den 25 maj förra året av lagen GDPR som gäller i hela EU. När en personuppgift blir förstörd, ändrad eller kommer i orätta händer säger lagen att det behöver rapporteras till Datainspektionen.

Finns ett mörkertal

Nya siffror som SVT har tagit del av visar att det förra året rapporterades över 2 262 sådana säkerhetsincidenter i Sverige. Samtidigt är det tydligt att det finns ett mörkertal.

– Om man till exempel tittar på en bransch med många aktörer så ser vi en del som anmäler väldigt mycket och andra som anmäler nästan ingenting. Då kan man fundera över skillnaderna, säger Karin Lönnheden, stabschef på Datainspektionen.

De allra flesta incidenter är mindre allvarliga och rör felutskickade brev och mejl. Hon bedömer att mellan 100 och 200 av incidenterna ändå är så pass allvarliga att Datainspektionen behöver göra en fördjupad bedömning.

– Om vi inte tycker att man hanterat incidenten på ett bra sätt, eller om incidenten tyder på mer grundläggande brister, då har vi möjlighet att inleda tillsyn, säger Karin Lönnheden.

Höga böter

Ett fall i närtid som fått stor uppmärksamhet är it-haveriet kring Vårdguiden 1177 där miljontals känsliga samtal gått att ladda ner från internet utan lösenord. Datainspektionen planerar att inleda tillsyn i ytterligare ett antal fall.

När ett företag brutit mot GDPR kan myndigheten döma ut böter på upp till fyra procent av bolagets omsättning. I ett uppmärksammat fall nyligen bötfälldes Google med rekordhöga en halv miljard svenska kronor.