Datainspektionen meddelar på sin webbplats att de har granskat sammanlagt sju brottskämpande myndigheter: Polisen, Ekobrottsmyndigheten, Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket. Det som undersökts är myndigheternas förmåga att upptäcka personuppgiftsincidenter, att hantera eventuella incidenter, att dokumentera incidenter och vilken information och utbildning personalen fått vad gäller personuppgiftsincidenter.
På det hela anser Datainspektionen att myndigheternas rutiner för personuppgiftsincidenter ser bra ut. Datainspektionen avslutar granskningen med att ge ett antal rekommendationer till respektive granskad myndighet, som exempelvis att regelbundet utvärdera åtgärderna för att upptäcka incidenter, regelbundet kontrollera att rutinerna följs och regelbundet informera personalen om hur personuppgifter ska hanteras och rapporteras. Rekommendationer är en av de förebyggande och korrigerande åtgärder som myndigheten kan använda enligt brottsdatalagen.
I brottsdatalagen finns en skyldighet för berörda myndigheter att rapportera vissa personuppgiftsincidenter till Datainspektionen. En sådan incident har inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Även om en incident inte är tillräckligt allvarlig för att anmäla till Datainspektionen så ska den dokumenteras av den berörda myndigheten.
Enligt Datainspektionen harterar brottsbekämpande myndigheter ofta stora mängder personuppgifter som dessutom kan vara känsliga. Då är det viktigt att det finns fungerande rutiner på plats för att upptäcka och rapportera eventuella incidenter samt begränsa konsekvenserna för de berörda personerna.
I arbetet med personuppgiftsincidenter är det enligt Datainspektionen viktigt med återkommande uppföljningar och utvärderingar, det gäller inte bara för brottsbekämpande myndigheter utan för alla organisationer som hanterar personuppgifter.