Måste du rapportera en personuppgiftsincident? Så vet du när och hur

En personuppgiftsincident kan inträffa i vilken organisation som helst, oavsett hur bra rutiner ni än har på plats. Det avgörande är hur ni hanterar situationen när den väl uppstår. Måste incidenten rapporteras till Integritetsskyddsmyndigheten (IMY)? Behöver de registrerade informeras? Och hur säkerställer ni att ni uppfyller alla krav i GDPR?

Här får du en genomgång av reglerna för rapportering, praktiska exempel från både offentlig och privat sektor, vanliga fallgropar och råd för att hantera incidenter korrekt och effektivt.

Vad är en personuppgiftsincident?

En personuppgift är all slags information som direkt eller indirekt kan hänföras till en levande person, till exempel namn, personnummer eller e-postadress.  

Enligt GDPR är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller otillåten förstöring, förlust, ändring av samt  obehörig åtkomst eller tillgång till personuppgifter.

Det spelar ingen roll om det är en cyberattack, ett misstag från en medarbetare eller en teknisk brist — alla typer av händelser som hotar skyddet av personuppgifter kan utgöra en incident.

Exempel på incidenter:

• En anställd skickar en lönefil till fel mottagare.
  
  
• En bärbar dator med kunddata tappas bort vare sig den varit krypterad eller ej.
  
  
• Obefogad åtkomst till en databas med känsliga personuppgifter.
  
  
• Ett virus angriper systemet och raderar viktiga personalfiler.

Att förstå vad som faktiskt räknas som en incident är det första steget för att kunna hantera den på rätt sätt.

Måste alla incidenter rapporteras till IMY?

Nej, inte alla. Enbart de incidenter som sannolikt medför en risk för de registrerades rättigheter och friheter behöver rapporteras. Detta är dock ett lågt ställt krav och i praktiken behöver därmed de flesta personuppgiftsincidenter rapporteras till IMY.

Enligt GDPR måste rapporteringen ske till IMY inom 72 timmar från det att incidenten upptäckts. Om ni väntar längre än så behöver ni kunna motivera varför och ni riskerar dyra sanktionsavgifter.

Exempel på rapporteringspliktiga incidenter:

• En databas med personnummer och bankkontonummer blir tillgänglig på nätet.
  
  
• Journaler med känsliga hälsouppgifter exponeras för obehöriga.
  
  
• En hacker tar sig in i företagets e-postsystem och laddar ner kunddata.
  
  

Exempel på incidenter som ofta inte behöver rapporteras:

• En dator med krypterad hårddisk blir stulen, men uppgifterna går inte att läsa.
  
  
• En anställd öppnar en fil av misstag men informationen sprids inte vidare.

Även om en incident inte behöver rapporteras till IMY måste den ändå dokumenteras internt.

I en kommunal verksamhet kan det till exempel handla om att ett externt byggföretag av misstag får åtkomst till en mapp med sekretessbelagda personuppgifter om barn i socialtjänsten. 

En sådan händelse bedöms innebära en hög risk för de berörda och rapporteras till IMY samma dag, tillsammans med en åtgärdsplan för att förhindra att det händer igen och med information till vårdnadshavarna.

I en privat verksamhet kan situationen se annorlunda ut, men principerna är desamma. 

Ett e-handelsföretag som upptäcker att en hacker laddat ner en lista med kunders kontaktuppgifter och kreditkortsnummer från webbshopens server måste agera snabbt. Incidenten anmäls till IMY, kunderna informeras direkt och får stöd för att kontrollera sina konton och byta lösenord.

Hur bedömer man om incidenten innebär en risk?

Riskbedömningen handlar om att analysera både sannolikheten för och allvaret i de negativa konsekvenserna för de berörda. Det är en bedömning som ska göras snabbt, men noggrant.

Faktorer att ta hänsyn till:

• Typ av incident: Vad har hänt? Har uppgifterna gått förlorade, blivit ändrade eller hamnat hos obehöriga? Ett felskick med känsliga uppgifter har andra konsekvenser än om ett datasystem går ner och uppgifter blir otillgängliga.
• Personuppgifternas karaktär, känslighet och volym: Ju känsligare uppgifter, desto större risk. En kombination av uppgifter, som t.ex. identitetshandlingar och finansiella uppgifter, kan innebära en högre risk för identitetsstöld. En stor mängd uppgifter påverkar också bedömningen. Gäller det känsliga personuppgifter (exempelvis hälsouppgifter, sexuell orientering, religiös eller filosofisk övertygelse etc.) behöver ni agera extra skyndsamt.
• Identifierbarhet: Hur enkelt är det att identifiera enskilda personer med hjälp av uppgifterna? Om uppgifterna är krypterade eller pseudonymiserade kan risken vara lägre.
• Konsekvensernas allvarlighetsgrad för enskilda personer: Bedöm om incidenten kan leda till diskriminering, identitetsstöld, bedrägeri, fysisk skada, psykisk oro eller skadat anseende.
• Vem har drabbats? Incidenten kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, som till exempel barn.

En väl underbyggd och dokumenterad riskbedömning hjälper både i dialogen med IMY och när ni informerar de registrerade.

När måste de registrerade informeras?

Om incidenten innebär en hög risk för de registrerades rättigheter och friheter måste de också informeras, så snart som möjligt. Syftet är att ge dem möjlighet att vidta åtgärder för att skydda sig.

Exempel på när information till de registrerade krävs:

• En lista med namn, personnummer och inloggningsuppgifter sprids på nätet.
  
  
• Hälsouppgifter eller uppgifter om politiska åsikter läcker ut och kan skada de registrerades integritet.

Om ni snabbt har vidtagit åtgärder som kraftigt minskar risken, till exempel genom att spärra konton, återkalla åtkomst eller påvisa att informationen var krypterad, kan det i vissa fall räcka att bara rapportera till IMY.

Hur rapporterar man till IMY?

IMY tillhandahåller ett webbaserat formulär där ni anger:

• Vad som har inträffat.
  
  
• Vilka personuppgifter och hur många personer som berörs.
  
  
• Vilka åtgärder som vidtagits för att begränsa skadan.
  
  
• Kontaktperson, till exempel dataskyddsombudet eller ansvarig chef.

En ofullständig anmälan är alltid bättre än ingen anmälan alls. Det går att komplettera informationen senare när mer fakta finns tillgänglig. Det viktiga är att skicka in en anmälan 72 timmar från upptäckt!

Det är också viktigt att internt dokumentera alla steg ni tar — även för incidenter som ni inte rapporterar till IMY — för att kunna visa att ni haft kontroll över situationen.

Vanliga misstag vid incidenthantering – och hur de kan undvikas

Många organisationer begår misstag som förvärrar situationen eller leder till kritik eller sanktioner. Några av de vanligaste är:

• Att vänta för länge med att rapportera till IMY och missa tidsfristen.
  
  
• Att underskatta riskerna och därför låta bli att informera de registrerade.
  
  
• Att inte dokumentera incidenten tillräckligt noggrant.
  
  
• Att sakna en förutbestämd plan för hur incidenter ska hanteras.

För att undvika dessa misstag är det avgörande att ha tydliga rutiner, utbilda personalen löpande och använda ett systemstöd som hjälper er att hantera incidenter strukturerat.

Fördelarna med att använda ett verktyg för incidenthantering

Att hantera en personuppgiftsincident korrekt kräver både snabbhet och precision. För många organisationer är det en utmaning att på egen hand hålla koll på alla steg: att dokumentera händelsen, göra en riskbedömning, avgöra om den ska rapporteras till IMY och eventuellt informera de registrerade – allt inom 72 timmar.

Med ett dedikerat verktyg för incidenthantering blir processen både enklare och mer tillförlitlig. Ett bra verktyg hjälper er att:

• Få en tydlig struktur för hela utredningen, från upptäckt till åtgärder.
  
  
• Automatiskt hålla reda på deadlines och dokumentationskrav.
  
  
• Samla all information på ett och samma ställe så att inget tappas bort.
  
  
• Skapa en enhetlig process som hela organisationen kan följa, oavsett vem som är inblandad.

På så sätt slipper ni stress och osäkerhet när en incident inträffar och kan vara trygga med att ni agerar i linje med GDPR:s krav. Ni sparar tid, minskar risken för misstag och kan lättare visa tillsynsmyndigheten att ni haft kontroll på situationen.

Hantera personuppgiftsincidenter snabbt och säkert

Personuppgiftsincidenter inträffar ofta plötsligt och oväntat och kräver snabba och välgrundade beslut. Så snart en incident upptäcks behöver ni utreda den internt och avgöra om den måste anmälas till IMY och om de registrerade behöver informeras. 

Med vårt verktyg för incidenthantering kan ni genomföra utredningen snabbare och dokumentationen blir korrekt och komplett.

Privacy Incident hjälper er med att:

• Dokumentera personuppgiftsincidenter på ett strukturerat och spårbart sätt.
  
  
• Rapportera incidenter till tillsynsmyndigheten enligt GDPR artikel 33.
  
  
• Informera berörda registrerade när det krävs enligt artikel 34.
  
  
• Följa upp och analysera incidenter för att stärka och förbättra rutinerna.

Med tydliga rutiner och ett verktyg för att upptäcka och utreda personuppgiftsincidenter har ni redan halva arbetet gjort. När en incident väl inträffar kan ni snabbt kartlägga vad som har hänt, hur många som är drabbade, vilka risker som finns och vilka åtgärder som måste vidtas.

Privacy Incident är en del av ett systematiskt dataskyddsarbete som gör hanteringen säkrare, mer effektiv och ger en tydlig dokumentation och statistik för lärande och förbättringar över tid.

Vill du veta mer?

Boka en demo redan i dag och se hur ni kan hantera personuppgiftsincidenter snabbt, säkert och i full överensstämmelse med GDPR.