Medarbetarwebb

Hantering av personuppgiftsincident

Vid kännedom om att det skett en personuppgiftsincident ska hantering ske omgående.

Vad är en personuppgiftsincident?

Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, direkt eller indirekt, enskilt eller i kombination med andra uppgifter, kan knytas till en fysiskt levande person. Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det rör. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. Denna ”någon” behöver nödvändigtvis inte vara vi själva utan kan vara till exempel en leverantör av IT-tjänster (molntjänster).

Exempel på personuppgiftsincidenter

  • En obehörig får tillgång till personuppgifter, till exempel om man skickar personuppgifter till en mottagare som inte ska ha dem.
  • Datorer, surfplattor och mobiltelefoner som innehåller personuppgifter förloras eller stjäls.
  • Ändring av personuppgifter utan tillstånd.
  • Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Oavsett om det har skett oavsiktligt eller med avsikt så är det personuppgiftsincidenter.

I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY. Genom att agera snabbt så kan skadeverkningarna minimeras för den eller de vars personuppgifter drabbats.

Anmäl personuppgiftsincident

Hantering av en personuppgiftsincident behöver ske skyndsamt.  Anmälan om misstänkt personuppgiftsincident ska ske så snart som möjligt till dataskydd@du.se och dataskyddsombud frida.sjokvist@arkivit.se.

Bedömer dataskyddsombudet att incidenten ska rapporteras behöver det göras till Integritetsskyddsmyndigheten (IMY) inom 72h.

Berörd verksamhetsansvarig chef är ansvarig informationsägare och ska se till att handläggningen sker skyndsamt genom att tillhandahålla nödvändig information, resurser och stöd till dataskyddsgruppen som bistår med handläggningen.

 

Här följer steg för steg en beskrivning av handläggningen vid en personuppgiftsincident. Genom hela hanteringen ges stöd av dataskyddsgruppen och dataskyddsombud i dialog med verksamhetsansvarig chef.

Följ de olika stegen för att förbereda information som underlättar hanteringen.

Vad ska göras?

Vem ansvarar?

A. Anmälan om misstänkt personuppgiftsincident ska ske så snart som möjligt till dataskydd@du.se och dataskyddsombud frida.sjokvist@arkivit.se

Undersöka, upptäcka samt upplysa verksamhetsansvarig chef om misstänkt incident.

Vid osäkerhet kontakta dataskyddsombudet direkt frida.sjokvist@arkivit.se

Alternativ e-post: dataskydd@arkivit.se

Alla medarbetare.

Verksamhetsansvarig chef ska som informationsägare tillse att handläggningen och kontakt med dataskyddsgruppen och dataskyddsombudet sker skyndsamt.

B. Kontakta dataskyddsombudet (DSO).

DSO och dataskyddsgruppen kontaktar andra stödfunktioner vid behov.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

C. Genomförande av riskbedömning i samråd med dataskyddsgruppen och DSO om vilka potentiella negativa konsekvenser de registrerade kan få. Baserat på riskbedömningen bedömer dataskyddsgruppen och DSO om hur allvarliga eller väsentliga riskerna är för de registrerades fri- och rättigheter samt hur troligt det är att de inträffar.

Mall för riskbedömning (docx)

En lista på åtgärder upprättas i samråd med dataskyddsgruppen och DSO som ska vidtagas för att förmildra konsekvenserna för de registrerade samt för att förebygga att incidenten inte upprepas.

Det ska framkomma i incidentrapporten motiveringen till ställningstagandet av allvarlighetskaraktären.

Incidentrapport

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

D. Anmälan till Integritetsmyndigheten (IMY) ska ske inom 72 timmar om det är troligt att personuppgiftsincidenten medför en risk för de registrerade.

Anmälan av en personuppgiftsincident (imy.se)

En rapportering kan ske även fast inte alla detaljer finns ännu. Det är möjligt att lämna kompletterande uppgifter i efterhand.

Information som ska lämnas till Integritetsmyndigheten (docx)

Lista för vad de registrerade ska ha för information vid kontakttillfället.

Dataskyddsgruppen och DSO gör en bedömning och rekommenderar huruvida personuppgiftsincidenten ska rapporteras till IMY och om de registrerade ska få information.

Medför det ingen risk behöver ingen anmälan till IMY göras. Anmälan till IMY rapporteras av dataskyddsgruppen i dialog med DSO samt verksamhetsansvarig chef.

E. Händelseförloppet av personuppgiftsincidenten dokumenteras här Incidentrapport, dokumentationen registreras direkt i diariet. Information ska delges löpande till DSO.
Bifoga även ifylld Mall för riskbedömning (docx)

Alla personuppgiftsincidenter ska dokumenteras av högskolan som incidentrapporter, även de som inte behöver anmälas till IMY. Dokumentationen i incidentrapporten används för att identifiera brister och utvecklingsbehov i det löpande och systematiska arbetet med dataskydd och informationssäkerhet.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.

Dataskyddsgruppen följer årligen upp inrapporterade incidenter.

F. Incidentrapporten avslutas efter åtgärder vidtagits och diarieförs.

Dataskyddsgruppen och berörd verksamhetsansvarig chef i dialog.
Senast granskad: