Pensionsmyndigheten har beslutat att anmäla sig själv till Integritetsskyddsmyndigheten, eftersom man konstaterat att det saknas avtal saknas för att föra över personuppgifter i form av ip-adresser till USA.
Bakgrunden till incidenten är Pensionsmyndigheten använder Adobe Analytics, ett verktyg för webbanalys. Via Adobe Analytics samlas ip-adresser in från besökare på Pensionsmyndighetens webbplats.
Den 17 mars framkom information om att det saknades avtal enligt GDPR-standard med leverantören av webbanalysverktyget.
Pensionsmyndigheten använder normalt så kallad ip-anonymisering via Adobe Analytics. Man kommer nu att genomföra en fördjupad utredning av hur det kommer sig att besökares ip-adresser ändå förs över till USA. Anonymisering av uppgifterna har visserligen skett, men först sedan informationen skickats över till USA.
Så här skriver Pensionsmyndigheten om bakgrunden till att man nu skickar in en anmälan till Integritetsskyddsmyndigheten:
— Det är en del av vår skyldighet som personuppgiftsansvarig organisation att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten. När vi såg att ett avtal saknas för tredjelandsöverföring, där IP-adresser klassas som personuppgifter, anmälde vi oss själva.
Enligt Pensionsmyndigheten kommer nu bland annat följande åtgärder att vidtas:
- Uppdatering av funktionalitet för cookies på pensionsmyndigheten.se, där besökare aktivt kan ge samtycke till att använda bland annat coookies för webbanalys.
- Uppdatering av information om hanteringen på pensionsmyndigheten.se, där det tydligare beskrivs vilka data som samlas in via Adobe Analytics och hur den används.
- Pensionsmyndigheten utreder det rättsliga förhållandet för att eventuellt vidta fler åtgärder, som eventuell uppdatering av avtalet med Adobe.