En påminnelse om dataskyddets och personuppgiftsincidenters allvar

En aktuell och uppmärksammad personuppgiftsincident, där uppgifter för uppemot 300 000 personer exponerades, har återigen kastat ljus över dataskyddets allvar och GDPR. Händelsen sätter fingret på ett par kritiska aspekter, särskilt ur perspektivet för den personuppgiftsansvarige och den obligatoriska hanteringen av en personuppgiftsincident.

Denna incident är en ovärderlig och skarp läxa för alla organisationer som behandlar personuppgifter och visar att små detaljer kan dölja den största sårbarheten.

Personuppgiftsansvariges skyldighet: Från teknik till juridik

Kärnan i GDPR är att den personuppgiftsansvarige bär det yttersta ansvaret för de berörda personuppgifterna. Detta ansvar är inte enbart administrativt. Enligt artikel 24 och 32 i GDPR måste ansvaret sträcka sig djupt in i både de tekniska och organisatoriska åtgärder som ska säkerställa uppgifternas säkerhet.

Vad är en personuppgiftsincident?

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en levande person, till exempel namn, personnummer eller e-postadress.  

Enligt GDPR är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller otillåten förstöring, förlust, ändring av samt  obehörig åtkomst eller tillgång till personuppgifter.

Det spelar ingen roll om det är en cyberattack, ett misstag från en medarbetare eller en teknisk brist — alla typer av händelser som hotar skyddet av personuppgifter kan utgöra en incident.

Personuppgiftsincident – Snabb anmälan och information är avgörande

När incidenten upptäcktes trädde skyldigheterna gällande personuppgiftsincidenter i kraft (Art. 33 och 34 i GDPR). En personuppgiftsincident definieras som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.

1. Anmälan till IMY (Tillsynsmyndigheten)
Organisationen agerade korrekt och snabbt genom att anmäla händelsen till IMY. GDPR är tydlig: detta ska ske utan onödigt dröjsmål, och om möjligt senast 72 timmar efter att den personuppgiftsansvarige har fått kännedom om incidenten, såvida inte incidenten sannolikt inte leder till en risk för fysiska personers rättigheter och friheter. Att en anmälan genomfördes indikerar att risken för de registrerade bedömdes som betydande. Förseningar eller underlåtenhet att anmäla kan leda till betydande böter och är ett allvarligt brott mot GDPR.

2. Informera Berörda Registrerade
Med tanke på att 300 000 personuppgifter röjdes, var risken för bland annat identitetsbedrägeri, phishing och oönskad marknadsföring hög. Därför krävde situationen också en direkt kommunikation till de registrerade utan onödigt dröjsmål (Art. 34).

Styrkan ligger i kontrollen

Incidenten är en skarp påminnelse om att varje kontaktpunkt där personuppgifter behandlas, även ett till synes enkel webbsida med en extern koppling, måste vara skyddad med adekvata säkerhetsåtgärder. Dataskydd är en löpande process, inte ett engångsprojekt.

Den personuppgiftsansvarige måste regelbundet genomföra säkerhetsrevisioner och konsekvensbedömningar (DPIA) för att identifiera och åtgärda sårbarheter i automatiska flöden och integrationer. Den personuppgiftsansvarige ska även testa mot missbruk, inte bara testa funktionalitet utan även testa robustheten mot automatiserade angrepp och missbruk. Dokumentera de tekniska och organisatoriska åtgärder som vidtas för att bevisa dataskyddets efterlevnad. 

 Det blir enklare med ett kontrollerat dataskydd

I slutändan är snabbt och korrekt agerande vid en personuppgiftsincident – att stoppa läckan, anmäla till IMY och informera de registrerade – avgörande. Det är det enda sättet att uppfylla de lagstadgade skyldigheterna och minimera den skada som kan uppstå för de berörda individerna och organisationens anseende.

Personuppgiftsincidenter inträffar ofta plötsligt och oväntat och kräver snabba och välgrundade beslut. Så snart en incident upptäcks behöver ni utreda den internt och avgöra om den måste anmälas till IMY och om de registrerade behöver informeras. 

Med vårt verktyg för incidenthantering kan ni genomföra utredningen snabbare och dokumentationen blir korrekt och komplett.

Privacy Incident hjälper er med att:

• Dokumentera personuppgiftsincidenter på ett strukturerat och spårbart sätt.
  
  
• Rapportera incidenter till tillsynsmyndigheten enligt GDPR artikel 33.
  
  
• Informera berörda registrerade när det krävs enligt artikel 34.
  
  
• Följa upp och analysera incidenter för att stärka och förbättra rutinerna.

Med tydliga rutiner och ett verktyg för att upptäcka och utreda personuppgiftsincidenter har ni redan halva arbetet gjort. När en incident väl inträffar kan ni snabbt kartlägga vad som har hänt, hur många som är drabbade, vilka risker som finns och vilka åtgärder som måste vidtas.

Privacy Incident är en del av ett systematiskt dataskyddsarbete som gör hanteringen säkrare, mer effektiv och ger en tydlig dokumentation och statistik för lärande och förbättringar över tid.

Vill du veta mer?

Boka en demo redan i dag och se hur ni kan hantera personuppgiftsincidenter snabbt, säkert och enligt GDPR.