Det finns inget i förordningen som kräver att Datainspektionen publicerar information om anmälda incidenter. Även om Datainspektionen inte publicerar information från en anmälan om personuppgiftsincidenter, kan sådan information komma att behöva lämnas ut i enlighet med offentlighetsprincipen om det begärs.
Informationen får dock inte lämnas ut om det finns bestämmelser i offentlighets- och sekretesslagen som hindrar detta.
Om någon skulle begära ut information som kommer in i samband med en sådan anmälan får Datainspektionen alltså göra en sekretessprövning precis som vanligt för att se om informationen ska lämnas ut eller inte.
I ett färskt rättsfall har en privatperson begärt att få information om antalet anmälningar om personuppgiftsincidenter som Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar själva innehållet i rapporterna ute endast uppgift om antalet inkomna incidentanmälningar.
Datainspektionen avslog begäran med hänvisning till att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart och därmed anses vara känslig och skyddsvärd.
Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder.
