Vad är en personuppgiftsincident – och hur ska ni agera?
Att personuppgifter hamnar i orätta händer eller på avvägar är tyvärr inte ovanligt. När det sker talar vi om en personuppgiftsincident – en säkerhetshändelse som kan få konsekvenser både för de registrerade och för er organisation.
Men vad räknas egentligen som en personuppgiftsincident? Hur bedömer man allvaret – och när måste man anmäla till Integritetsskyddsmyndigheten (IMY)? Här går vi igenom grunderna, vanliga exempel och hur ni kan hantera incidenter korrekt och effektivt.
Vad räknas som en personuppgiftsincident?
En personuppgiftsincident innebär att personuppgifter har utsatts för risk i samband med en säkerhetsincident – oavsett om det skett avsiktligt eller av misstag.
Det kan röra sig om:
-
Oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter
-
Obehörigt röjande av personuppgifter
-
Obehörig åtkomst till personuppgifter
För att det ska räknas som en incident enligt GDPR måste det alltså handla om personuppgifter – inte allmän information.
Tre konkreta exempel på personuppgiftsincidenter
-
En anställd skickar ett mejl med personuppgifter till fel mottagare
-
En mobiltelefon med känsliga uppgifter tappas bort på bussen
-
En medarbetare luras i en phishing-attack och lämnar ut uppgifter som används i bedrägeri
Felaktiga mejlutskick – en vanlig incidenttyp
Cirka en tredjedel av alla anmälda personuppgiftsincidenter handlar om felaktiga brev- eller mejlutskick. En vanlig situation ser ut så här:
En enhetschef skickar ett mejl till 80 chefer inom organisationen. Mejlet innehåller information om att en namngiven person har sagt upp sig, samt en fråga om en annan person – också namngiven – bör få förtur till tjänsten.
Är detta en personuppgiftsincident som måste rapporteras?
Ja. Det här är ett tydligt exempel på en incident som bör anmälas till IMY enligt artikel 33 i GDPR. Det är nämligen inte osannolikt att händelsen medför en risk för de berördas rättigheter och friheter. Spridningen av känsliga uppgifter till ett stort antal mottagare kan uppfattas som integritetskränkande.
När ska man anmäla till IMY?
En personuppgiftsincident ska anmälas till Integritetsskyddsmyndigheten inom 72 timmar, om det inte är osannolikt att händelsen medför risk för de registrerade.
Om incidenten dessutom innebär hög risk för individens fri- och rättigheter, måste ni även informera de registrerade personerna.
Det avgörande är alltså inte alltid hur incidenten uppstod – utan vilka konsekvenser den kan få.
Tänk på:
1. Bedöm alltid risknivån för de registrerade – hellre en anmälan för mycket än för lite
2. Dokumentera alla incidenter, även de ni inte anmäler
3. Ha en tydlig process för att identifiera, bedöma, rapportera och följa upp incidenter
Optimera ert dataskydd och spara tid
Att hantera incidenter korrekt kräver struktur, rutiner och rätt verktyg. Med vårt stöd kan ni agera snabbt och korrekt – varje gång.
Vill ni förenkla incidentrapporteringen? Med verktyget Privacy Incident kan ni dokumentera, bedöma och anmäla personuppgiftsincidenter digitalt – direkt i enlighet med GDPR.
För ett mer omfattande och långsiktigt stöd rekommenderar vi dessutom tjänsten Privacy as a Service – en helhetslösning som kombinerar verktyg, kompetens och juridisk rådgivning för att ni ska lyckas med dataskyddsarbetet över tid.
Privacy as a Service inkluderar:
-
Stöd av jurister och diplomerade dataskyddsombud
-
Projektledning enligt vår metod SDA – Systematiskt dataskyddsarbete
-
Tydlig ansvarsfördelning, uppföljning och kontinuerlig förbättring
-
Anpassad process efter era behov
GDPR på era villkor
Har ni fastnat i arbetet med GDPR? Saknar ni struktur, rutiner eller tydliga roller? Med Privacy as a Service får ni ett strukturerat, långsiktigt och resultatinriktat stöd som gör skillnad – på riktigt.
