En personuppgiftsincident kan inträffa i vilken organisation som helst, oavsett hur bra rutiner ni än har på plats. Organisationer behandlar idag stora mängder personuppgifter i allt från HR-system och kundregister till e-handel, journalsystem och interna databaser. Samtidigt innebär hanteringen av personuppgifter ett stort ansvar.
När personuppgifter förstörs, förloras, förändras eller hamnar i fel händer kan konsekvenserna bli allvarliga – både för de registrerade och för organisationen som ansvarar för behandlingen.
Det avgörande är därför hur ni hanterar situationen när en incident väl uppstår.
Måste incidenten rapporteras till Integritetsskyddsmyndigheten (IMY)?
Behöver de registrerade informeras?
Och hur säkerställer ni att ni uppfyller alla krav i GDPR?
Här får du en genomgång av vad en personuppgiftsincident är, när den måste rapporteras, hur risker ska bedömas och vilka åtgärder organisationer behöver vidta. Du får också praktiska exempel från både offentlig och privat sektor, vanliga fallgropar och råd för att hantera incidenter korrekt och effektivt.
En personuppgift är all slags information som direkt eller indirekt kan hänföras till en levande person, till exempel namn, personnummer eller e-postadress.
Enligt GDPR är en personuppgiftsincident en säkerhetsincident som leder till oavsiktlig eller otillåten:
eller
Det innebär att en personuppgiftsincident inte bara handlar om cyberattacker eller dataintrång. Den kan också uppstå genom mänskliga misstag, tekniska brister eller bristande rutiner i organisationen.
Det är också viktigt att skilja mellan säkerhetsincidenter i allmänhet och personuppgiftsincidenter.
Alla personuppgiftsincidenter är säkerhetsincidenter, men alla säkerhetsincidenter rör inte personuppgifter.
När en incident inträffar behöver organisationen därför först avgöra om händelsen faktiskt rör personuppgifter och därmed omfattas av reglerna i dataskyddsförordningen.
Personuppgiftsincidenter kan uppstå i många olika situationer. Det spelar ingen roll om det handlar om en cyberattack, ett tekniskt fel eller ett mänskligt misstag – så länge skyddet av personuppgifter har äventyrats kan det röra sig om en incident.
Exempel på incidenter:
Gemensamt för dessa situationer är att skyddet av personuppgifter har äventyrats, vilket kan innebära risker för de personer vars uppgifter behandlas.
Att förstå vad som faktiskt räknas som en incident är därför det första steget för att kunna hantera situationen på rätt sätt.
En personuppgiftsincident kan innebära risker för de registrerades rättigheter och friheter. Konsekvenserna kan vara både materiella och immateriella.
Exempel på möjliga konsekvenser är:
Om en incident inte hanteras korrekt kan den också få konsekvenser för organisationen. Förutom skadat förtroende kan tillsynsmyndigheten besluta om sanktionsavgifter eller andra åtgärder inom ramen för tillsyn enligt GDPR.
Det är därför avgörande att organisationer har tydliga rutiner för att upptäcka, utreda och hantera personuppgiftsincidenter.
Nej, inte alla.
Enbart de incidenter som sannolikt medför en risk för de registrerades rättigheter och friheter behöver rapporteras till IMY.
Detta är dock ett relativt lågt ställt krav. I praktiken innebär det att många personuppgiftsincidenter faktiskt behöver rapporteras.
Enligt GDPR måste rapporteringen ske till IMY utan onödigt dröjsmål och senast inom 72 timmar från det att incidenten upptäckts.
Om rapporteringen sker senare än så behöver organisationen kunna motivera varför. I annat fall riskerar man administrativa sanktioner.
Exempel på rapporteringspliktiga incidenter:
Exempel på incidenter som ofta inte behöver rapporteras:
Även om en incident inte behöver rapporteras till IMY måste den ändå dokumenteras internt.
När en personuppgiftsincident inträffar måste organisationen utan dröjsmål göra en riskbedömning.
Riskbedömningen handlar om att analysera både sannolikheten för och allvaret i de negativa konsekvenserna för de registrerade.
Faktorer att ta hänsyn till:
Vad har hänt?
Har uppgifterna gått förlorade, blivit ändrade eller hamnat hos obehöriga?
Ett felskick med känsliga uppgifter kan få helt andra konsekvenser än om ett system tillfälligt ligger nere och uppgifterna bara är otillgängliga.
Ju känsligare uppgifter, desto större risk.
En kombination av uppgifter – till exempel identitetshandlingar och finansiella uppgifter – kan innebära en hög risk för identitetsstöld.
Även antalet personer som berörs påverkar riskbedömningen.
Hur enkelt är det att identifiera en individ utifrån uppgifterna?
Om uppgifterna är krypterade eller pseudonymiserade kan risken vara lägre.
Bedöm om incidenten kan leda till exempelvis:
Incidenter som rör barn, personer i utsatta situationer eller personer med skyddade personuppgifter kan innebära särskilt allvarliga risker.
En väl underbyggd och dokumenterad riskbedömning hjälper både i dialogen med IMY och när ni informerar de registrerade.
Om incidenten innebär en hög risk för de registrerades rättigheter och friheter måste organisationen också informera de berörda personerna utan onödigt dröjsmål.
Syftet är att ge dem möjlighet att vidta åtgärder för att skydda sig mot negativa konsekvenser.
Informationen ska vara tydlig och innehålla:
Exempel på när information till de registrerade krävs:
Även incidenter som inte behöver anmälas till IMY måste dokumenteras.
Dokumentationen ska bland annat innehålla:
Det bör också framgå varför organisationen har gjort bedömningen att incidenten inte behöver anmälas eller att de registrerade inte behöver informeras.
Dokumentationen är viktig för att kunna visa att organisationen följer dataskyddsförordningen och har kontroll över situationen.
Många organisationer begår misstag som förvärrar situationen eller leder till kritik eller sanktioner.
Vanliga misstag är:
För att undvika dessa misstag är det avgörande att ha tydliga rutiner, utbilda personalen och arbeta strukturerat med incidenthantering.
Att hantera en personuppgiftsincident korrekt kräver både snabbhet och noggrannhet. När en incident upptäcks måste organisationen snabbt förstå vad som har hänt, vilka personuppgifter som berörs och vilka risker situationen kan innebära för de registrerade.
I praktiken innebär detta ofta flera parallella moment som behöver hanteras under tidspress, till exempel att:
För många organisationer kan detta vara en utmaning, särskilt om det saknas tydliga rutiner eller om ansvarsfördelningen inte är helt klar.
En strukturerad och genomtänkt process för incidenthantering gör det betydligt lättare att agera snabbt när något inträffar. När roller, ansvar och arbetsmoment är tydliga kan organisationen snabbare få en överblick över situationen och fatta välgrundade beslut.
Det minskar också risken för vanliga misstag, till exempel att viktiga steg i utredningen missas eller att dokumentationen blir bristfällig.
Organisationer som behandlar personuppgifter behöver ofta hantera incidenter under stor tidspress. Samtidigt ställer GDPR tydliga krav på både riskbedömning, rapportering och dokumentation.
För att kunna agera korrekt när en incident inträffar är det därför viktigt att arbeta systematiskt med incidenthantering redan innan något händer.
Det kan till exempel handla om att:
När incidenthanteringen är en naturlig del av organisationens arbete med personvern och informationssäkerhet blir det också lättare att visa för tillsynsmyndigheten att organisationen har kontroll, struktur och ansvar i sitt arbete med personuppgifter.
Det bidrar inte bara till att uppfylla kraven i GDPR, utan stärker också organisationens förmåga att förebygga och hantera framtida incidenter.
Om ni vill diskutera hur ni arbetar med personuppgiftsincidenter i dag eller behöver stöd i att utveckla era rutiner finns vi självklart här som ett bollplank.