Vad är en personuppgiftsincident?
Dataskyddsförordningen gäller för behandling av personuppgifter. Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, direkt eller indirekt, enskilt eller i kombination med andra uppgifter, kan knytas till en fysiskt levande person. Även bild- och ljudupptagningar kan räknas som personuppgifter, om man kan se eller höra vem det rör. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. Denna ”någon” behöver nödvändigtvis inte vara vi själva utan kan vara till exempel en leverantör av IT-tjänster (molntjänster).
Exempel på personuppgiftsincidenter
- En obehörig får tillgång till personuppgifter, till exempel om man skickar personuppgifter till en mottagare som inte ska ha dem.
- Datorer, surfplattor och mobiltelefoner som innehåller personuppgifter förloras eller stjäls.
- Ändring av personuppgifter utan tillstånd.
- Personuppgifter är inte längre tillgängliga för den som behöver dem och det leder till negativa konsekvenser för de registrerade.
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Oavsett om det har skett oavsiktligt eller med avsikt så är det personuppgiftsincidenter.
I dataskyddsförordningen finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till IMY. Genom att agera snabbt så kan skadeverkningarna minimeras för den eller de vars personuppgifter drabbats.
Så här hanterar du en personuppgiftsincident
Hantering av en personuppgiftsincident behöver ske skyndsamt. Bedömer dataskyddsombudet att incidenten ska rapporteras behöver det göras till Integritetsskyddsmyndigheten (IMY) inom 72h. Här följer därför steg för steg en beskrivning om hur du går tillväga, vad som ska undersökas samt vilka kontakter du behöver ta. Genom hela hanteringen har du stöd av dataskyddsombud och/eller dataskyddsgruppen.
| Vad ska göras? | Vem ansvarar? |
|---|---|
|
A. Undersöka, upptäcka samt upplysa ansvarig chef om misstänkt incident. Vid osäkerhet kontakta dataskyddsombudet direkt. |
Alla medarbetare. Kontaktformulär vid misstanke och konsultation om incident. |
|
B. Kontakta dataskyddsombudet (DSO). DSO kontaktar dataskyddsgruppen samt andra stödfunktioner vid behov. |
Berörd verksamhetsansvarig chef. |
|
C. Gör en riskbedömning i samråd med DSO om vilka potentiella negativa konsekvenser de registrerade kan få. Baserat på riskbedömningen bedömer DSO om hur allvarliga eller väsentliga riskerna är för de registrerades fri- och rättigheter samt hur troligt det är att de inträffar. Det ska framkomma i incidentrapporten motiveringen till ställningstagandet av allvarlighetskaraktären. |
Berörd verksamhetsansvarig chef. DSO och dataskyddsgruppen bistår med stöd och råd vid handläggningen. Berörd verksamhetsansvarig chef är ansvarig för att handläggningen sker skyndsamt. |
|
D. Dokumentera händelseförloppet av personuppgiftsincidenten och delge informationen till DSO.
|
Berörd verksamhetsansvarig chef. Använd kontaktformulär anmäla personuppgiftsincident. Dokumentationen registreras här direkt i diariet. DSO och dataskyddsgruppen bistår med stöd och råd vid handläggningen. |
| E. Gör en lista på åtgärder som ska vidtagas för att förmildra konsekvenserna för de registrerade samt för att förebygga att incidenten inte upprepas. |
Berörd verksamhetsansvarig chef. DSO och dataskyddsgruppen bistår med stöd och råd vid handläggningen. |
|
F. Anmäl till Integritetsmyndigheten (IMY) inom 72 timmar om det är troligt att personuppgiftsincidenten medför en risk för de registrerade. En rapportering kan ske även fast inte alla detaljer finns ännu. Det är möjligt att lämna kompletterande uppgifter i efterhand. Information som ska lämnas till Integritetsmyndigheten (docx) De registrerade ska omgående kontaktas och informeras. |
DSO gör en bedömning och rekommenderar berörd verksamhetsansvarig chef huruvida personuppgiftsincidenten ska rapporteras till IMY och om de registrerade ska få information. Verksamhetsansvarig chef rapporterar till IMY med stöd av DSO och dataskyddsgruppen. |
|
Medför det ingen risk behöver ingen anmälan till Intigritetsskydds myndigheten göras. |
|
| G. Alla personuppgiftsincidenter ska dokumenteras som incidentrapporter, även de som inte behöver anmälas till IMY. Dokumentationen i incidentrapporten används för att identifiera brister och utvecklingsbehov i det löpande och systematiska arbetet med dataskydd och informationssäkerhet. |
Berörd verksamhetsansvarig chef. DSO och dataskyddsgruppen bistår med stöd och råd vid handläggningen samt följer årligen upp inrapporterade incidenter. |
| H. Incidentrapporten avslutas efter åtgärder vidtagits och diarieförs. |
Berörd verksamhetsansvarig chef. DSO och dataskyddsgruppen bistår med stöd och råd vid handläggningen. |
Information som ska lämnas till de registrerade vid kontakttillfället
Syftet med att informera de registrerade är att ge dem möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador av en personuppgiftsincident.
- Beskriv orsaken till personuppgiftsincidenten.
- Delge kontaktuppgifter till dataskyddsombudet samt kontaktuppgifter till annan kontakt som är insatt i frågan och kan besvara frågor (handledare, verksamhetschef, avdelningschef).
- Beskriv de sannolika konsekvenserna av personuppgiftsincidenten.
- Beskriv vad ni har gjort samt tänker göra för att hantera personuppgiftsincidenten.
- I förekommande fall: Beskriv vad ni har gjort för att mildra eventuella negativa effekter.