Choose language

Personuppgiftsincident – när måste den rapporteras till IMY?

En personuppgiftsincident kan inträffa i vilken organisation som helst, oavsett hur bra rutiner ni än har på plats. Organisationer behandlar idag stora mängder personuppgifter i allt från HR-system och kundregister till e-handel, journalsystem och interna databaser. Samtidigt innebär hanteringen av personuppgifter ett stort ansvar.

När personuppgifter förstörs, förloras, förändras eller hamnar i fel händer kan konsekvenserna bli allvarliga – både för de registrerade och för organisationen som ansvarar för behandlingen.

Det avgörande är därför hur ni hanterar situationen när en incident väl uppstår.

  • Måste incidenten rapporteras till Integritetsskyddsmyndigheten (IMY)?

  • Behöver de registrerade informeras?

  • Och hur säkerställer ni att ni uppfyller alla krav i GDPR?

Här får du en genomgång av vad en personuppgiftsincident är, när den måste rapporteras, hur risker ska bedömas och vilka åtgärder organisationer behöver vidta. Du får också praktiska exempel från både offentlig och privat sektor, vanliga fallgropar och råd för att hantera incidenter korrekt och effektivt.

Vad är en personuppgiftsincident?

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en levande person, till exempel namn, personnummer eller e-postadress.

Enligt GDPR är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller otillåten:

  • förstöring av personuppgifter
  • förlust av personuppgifter
  • ändring av personuppgifter

eller

  • obehörigt röjande av personuppgifter
  • obehörig åtkomst till personuppgifter.

Det innebär att en personuppgiftsincident inte bara handlar om cyberattacker eller dataintrång. Den kan också uppstå genom mänskliga misstag, tekniska brister eller bristande rutiner i organisationen.

Det är också viktigt att skilja mellan säkerhetsincidenter i allmänhet och personuppgiftsincidenter.

Alla personuppgiftsincidenter är säkerhetsincidenter, men alla säkerhetsincidenter rör inte personuppgifter.

När en incident inträffar behöver organisationen därför först avgöra om händelsen faktiskt rör personuppgifter och därmed omfattas av reglerna i dataskyddsförordningen.

Exempel på personuppgiftsincidenter

Personuppgiftsincidenter kan uppstå i många olika situationer. Det spelar ingen roll om det handlar om en cyberattack, ett tekniskt fel eller ett mänskligt misstag – så länge skyddet av personuppgifter har äventyrats kan det röra sig om en incident.

Exempel på incidenter:

  • En anställd skickar en lönefil till fel mottagare
  • Personuppgifter skickas till fel mottagare via e-post eller brev
  • En bärbar dator med kunddata tappas bort vare sig den varit krypterad eller ej
  • Datautrustning som innehåller personuppgifter stjäls
  • Personuppgifter publiceras av misstag på en webbplats
  • En anställd eller extern aktör får tillgång till uppgifter utan behörighet
  • Obefogad åtkomst till en databas med känsliga personuppgifter
  • Ett virus angriper systemet och raderar viktiga personalfiler
  • Tillgången till personuppgifter går förlorad på grund av tekniska fel

Gemensamt för dessa situationer är att skyddet av personuppgifter har äventyrats, vilket kan innebära risker för de personer vars uppgifter behandlas.

Att förstå vad som faktiskt räknas som en incident är därför det första steget för att kunna hantera situationen på rätt sätt.

Vilka konsekvenser kan en personuppgiftsincident få?

En personuppgiftsincident kan innebära risker för de registrerades rättigheter och friheter. Konsekvenserna kan vara både materiella och immateriella.

Exempel på möjliga konsekvenser är:

  • identitetsstöld eller identitetsbedrägeri
  • ekonomisk förlust
  • diskriminering
  • skadat anseende
  • brott mot sekretess eller tystnadsplikt
  • psykisk oro eller andra negativa följder.

Om en incident inte hanteras korrekt kan den också få konsekvenser för organisationen. Förutom skadat förtroende kan tillsynsmyndigheten besluta om sanktionsavgifter eller andra åtgärder inom ramen för tillsyn enligt GDPR.

Det är därför avgörande att organisationer har tydliga rutiner för att upptäcka, utreda och hantera personuppgiftsincidenter.

Måste alla incidenter rapporteras till IMY?

Nej, inte alla.

Enbart de incidenter som sannolikt medför en risk för de registrerades rättigheter och friheter behöver rapporteras till IMY.

Detta är dock ett relativt lågt ställt krav. I praktiken innebär det att många personuppgiftsincidenter faktiskt behöver rapporteras.

Enligt GDPR måste rapporteringen ske till IMY utan onödigt dröjsmål och senast inom 72 timmar från det att incidenten upptäckts.

Om rapporteringen sker senare än så behöver organisationen kunna motivera varför. I annat fall riskerar man administrativa sanktioner.

Exempel på rapporteringspliktiga incidenter:

  • En databas med personnummer och bankkontonummer blir tillgänglig på nätet
  • Journaler med känsliga hälsouppgifter exponeras för obehöriga

  • En hacker tar sig in i företagets e-postsystem och laddar ner kunddata

Exempel på incidenter som ofta inte behöver rapporteras:

  • En dator med krypterad hårddisk blir stulen, men uppgifterna går inte att läsa
  • En anställd öppnar en fil av misstag men informationen sprids inte vidare.

Även om en incident inte behöver rapporteras till IMY måste den ändå dokumenteras internt.

Hur bedömer man om incidenten innebär en risk?

När en personuppgiftsincident inträffar måste organisationen utan dröjsmål göra en riskbedömning.

Riskbedömningen handlar om att analysera både sannolikheten för och allvaret i de negativa konsekvenserna för de registrerade.

Faktorer att ta hänsyn till:

  • Typ av incident

Vad har hänt?
 Har uppgifterna gått förlorade, blivit ändrade eller hamnat hos obehöriga?

Ett felskick med känsliga uppgifter kan få helt andra konsekvenser än om ett system tillfälligt ligger nere och uppgifterna bara är otillgängliga.

  • Personuppgifternas karaktär, känslighet och volym

Ju känsligare uppgifter, desto större risk.

En kombination av uppgifter – till exempel identitetshandlingar och finansiella uppgifter – kan innebära en hög risk för identitetsstöld.

Även antalet personer som berörs påverkar riskbedömningen.

  • Identifierbarhet

Hur enkelt är det att identifiera en individ utifrån uppgifterna?

Om uppgifterna är krypterade eller pseudonymiserade kan risken vara lägre.

  • Konsekvensernas allvarlighetsgrad

Bedöm om incidenten kan leda till exempelvis:

  • diskriminering
  • identitetsstöld
  • bedrägeri
  • psykisk oro
  • skadat anseende.

Särskilt skyddsvärda personer

Incidenter som rör barn, personer i utsatta situationer eller personer med skyddade personuppgifter kan innebära särskilt allvarliga risker.

En väl underbyggd och dokumenterad riskbedömning hjälper både i dialogen med IMY och när ni informerar de registrerade.

När måste de registrerade informeras?

Om incidenten innebär en hög risk för de registrerades rättigheter och friheter måste organisationen också informera de berörda personerna utan onödigt dröjsmål.

Syftet är att ge dem möjlighet att vidta åtgärder för att skydda sig mot negativa konsekvenser.

Informationen ska vara tydlig och innehålla:

  • en beskrivning av vad som har hänt
  • kontaktuppgifter till organisationen eller dataskyddsombudet
  • vilka konsekvenser incidenten kan få
  • vilka åtgärder organisationen har vidtagit eller planerar att vidta.

Exempel på när information till de registrerade krävs:

  • En lista med namn, personnummer och inloggningsuppgifter sprids på nätet
  • Hälsouppgifter eller uppgifter om politiska åsikter läcker ut.

Alla personuppgiftsincidenter måste dokumenteras

Även incidenter som inte behöver anmälas till IMY måste dokumenteras.

Dokumentationen ska bland annat innehålla:

  • vad som har inträffat
  • när incidenten inträffade och när den upptäcktes
  • vilka personuppgifter som har påverkats
  • hur länge incidenten pågick
  • varför incidenten uppstod
  • vilka konsekvenser den kan få
  • organisationens riskbedömning
  • vilka åtgärder som vidtagits.

Det bör också framgå varför organisationen har gjort bedömningen att incidenten inte behöver anmälas eller att de registrerade inte behöver informeras.

Dokumentationen är viktig för att kunna visa att organisationen följer dataskyddsförordningen och har kontroll över situationen.

Vanliga misstag vid incidenthantering – och hur de kan undvikas

Många organisationer begår misstag som förvärrar situationen eller leder till kritik eller sanktioner.

Vanliga misstag är:

  • att vänta för länge med att rapportera till IMY
  • att underskatta riskerna för de registrerade
  • att inte dokumentera incidenten tillräckligt noggrant
  • att sakna en tydlig plan för incidenthantering.

För att undvika dessa misstag är det avgörande att ha tydliga rutiner, utbilda personalen och arbeta strukturerat med incidenthantering.

Därför är en strukturerad hantering av personuppgiftsincidenter viktig

Att hantera en personuppgiftsincident korrekt kräver både snabbhet och noggrannhet. När en incident upptäcks måste organisationen snabbt förstå vad som har hänt, vilka personuppgifter som berörs och vilka risker situationen kan innebära för de registrerade.

I praktiken innebär detta ofta flera parallella moment som behöver hanteras under tidspress, till exempel att:

  • dokumentera vad som har inträffat
  • kartlägga vilka system eller uppgifter som berörs
  • göra en riskbedömning för de registrerade
  • avgöra om incidenten ska rapporteras till IMY
  • bedöma om de registrerade behöver informeras
  • dokumentera vilka beslut och åtgärder som vidtas

För många organisationer kan detta vara en utmaning, särskilt om det saknas tydliga rutiner eller om ansvarsfördelningen inte är helt klar.

En strukturerad och genomtänkt process för incidenthantering gör det betydligt lättare att agera snabbt när något inträffar. När roller, ansvar och arbetsmoment är tydliga kan organisationen snabbare få en överblick över situationen och fatta välgrundade beslut.

Det minskar också risken för vanliga misstag, till exempel att viktiga steg i utredningen missas eller att dokumentationen blir bristfällig.

Så kan organisationer arbeta mer systematiskt med personuppgiftsincidenter

Organisationer som behandlar personuppgifter behöver ofta hantera incidenter under stor tidspress. Samtidigt ställer GDPR tydliga krav på både riskbedömning, rapportering och dokumentation.

För att kunna agera korrekt när en incident inträffar är det därför viktigt att arbeta systematiskt med incidenthantering redan innan något händer.

Det kan till exempel handla om att:

  • ha tydliga rutiner för hur incidenter ska upptäckas och rapporteras internt
  • säkerställa att ansvar och roller är tydligt definierade
  • dokumentera incidenter och riskbedömningar på ett konsekvent sätt
  • följa upp incidenter för att identifiera återkommande brister eller risker
  • använda incidenter som underlag för att förbättra organisationens säkerhetsarbete

När incidenthanteringen är en naturlig del av organisationens arbete med personvern och informationssäkerhet blir det också lättare att visa för tillsynsmyndigheten att organisationen har kontroll, struktur och ansvar i sitt arbete med personuppgifter.

Det bidrar inte bara till att uppfylla kraven i GDPR, utan stärker också organisationens förmåga att förebygga och hantera framtida incidenter.

Om ni vill diskutera hur ni arbetar med personuppgiftsincidenter i dag eller behöver stöd i att utveckla era rutiner finns vi självklart här som ett bollplank.

Related blog posts