Personuppgiftsincident är ett vanligt ord sedan GDPR trädde i kraft för snart två år sedan. Det är viktigt att ha grundläggande kunskap kring personuppgiftincidenter samt rutiner för att kunna hantera en eventuell incident. Tyvärr cirkulerar det mycket felaktig information kring vad det innebär och vad det kan leda till, därför går vi i detta blogginlägg igenom vad en personuppgiftsincident är och vad man ska tänka på om en personuppgiftsincident skulle inträffa i er verksamhet.

 

Publicerad 14 april 2020

 

Vad är en personuppgiftsincident?

En personuppgiftsincident är förenklat all oplanerad behandling av personuppgifter. Av definitionen i GDPR kring vad som är en personuppgiftsincident framgår det att en personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig åtkomst till de personuppgifter som behandlats.

Nedan följer tre exempel på personuppgiftsincidenter:

  • En anställd skickar ett mejl till fel person.
  • En dator som innehåller personuppgifter blir stulen.
  • En patients journal är inte tillgänglig i sjukhusets system när patienten har en bokad tid.

Det finns tre olika typer av incidenter:

  1. Tillgänglighetsincident = en tillgänglighetsincident innebär oavsiktlig begränsad åtkomst till personuppgifterna eller att personuppgifterna förstörts. Personuppgifterna finns helt enkelt inte tillgängliga när de ska eller bör finnas.
  2. Konfidentialitetsincident = en konfidentialitetsincident innebär att personuppgifter oavsiktligt eller obehörigt har röjts eller getts åtkomst till.
  3. Integritetsincident = en integritetsincident innebär att personuppgifter obehörigt eller oavsiktligt ändrats. Viktigt att tänka på är att det inte spelar någon roll om incidenten sker avsiktligt eller oavsiktligt, det är fortfarande en incident.

 

Vad ska man göra om en personuppgiftsincident inträffar?

Vad som ska göras om en personuppgiftsincident inträffar beror på personuppgiftsincidenten i sig. Det är alltså inte möjligt att ge ett svar, utan det varierar från fall till fall. Det finns dock några hållpunkter som är viktiga att hålla i minnet:

1. Rapportera till tillsynsmyndighet (Datainspektionen)

Om en incident inträffar kan det vara så att ni har en rapporteringsskyldighet, vilket innebär att ni inom 72 timmar måste anmäla incidenten till rätt tillsynsmyndighet. Ni måste därmed göra bedömningen av om det är en sådan incident som gör att rapporteringsskyldigheten föreligger. För att det ska föreligga en rapporteringsskyldighet ska det vara troligt att den inträffade incidenten kommer att medföra en risk för den eller de enskilda som berörs.

Ni anmäler en personuppgiftsincident till Datainspektionen här.

2. Rapportera till enskild

Vissa typer av incidenter har ni även en skyldighet att rapportera till de enskilda som berörs av incidenten. Denna informationsskyldighet föreligger om incidenten kan leda till en hög risk för den enskildes fri- och rättigheter. Informationen ska i sådana fall lämnas utan onödigt dröjsmål.

För att avgöra om det föreligger en hög risk är framförallt två faktorer relevanta:

1. Hur allvarliga eventuella konsekvenser kan bli och

2. Hur sannolikt det är att dessa konsekvenser kan inträda.

Kom ihåg att det alltid är viktigt att ni arbetar för att minska risken för skador. I kontakten med de drabbade är det viktigt att ni är tydliga med vad som hänt. Ni bör även informera om de sannolika konsekvenserna av incidenten och vilka åtgärder ni vidtagit eller planerar att vidta. Lämna även kontaktuppgifter till någon i er organisation om den enskilde har frågor.

Om ni kommer fram till att en incident behöver förmedlas till de drabbade ska den även anmälas till Datainspektionen. Det beror på att det är ett högre ställt krav för att ni ska ha en skyldighet att informera enskilda om incidenten än det krav som ställs upp för att anmäla till Datainspektionen. Följden av detta blir att alla incidenter ni informerar enskilda om även anmäls till Datainspektionen, men alla incidenter ni anmäler till Datainspektionen kommer inte enskilda få information om.

3. Dokumentera

Om en incident inträffar ska den alltid dokumenteras internt. Det innebär att oaktat om ni anmäler incidenten eller informerar enskilda om det inträffade, så ska incidenten dokumenteras för er egen del. Ni har då möjlighet att dokumentera ert beslut och motivera det.

I GDPR Hero finns det en möjlighet att dokumentera incidenter. Boka gärna en demo där vi visar er hur här!

 

Vad kan en personuppgiftsincident leda till?

En personuppgiftsincident kan leda till sanktionsavgifter för verksamheten eller verksamheterna som är inblandade. Sanktionsavgiftens storlek är beroende av hur allvarlig incidenten bedöms vara och vilka åtgärder som vidtagits av verksamheten.

En sanktionsavgift kan också leda till att Datainspektionen inleder en tillsyn mot verksamheten. En tillsyn leder sedan fram till ett tillsynsbeslut. Läs mer om hur det kan gå till här.

Det som är viktigt att tänka på gällande denna fråga är att det finns två aspekter att ta hänsyn till. Förutom för verksamheten kan en incident leda till konsekvenser för de vars personuppgifter berörs av incidenten. En personuppgiftsincident kan leda till fysisk eller materiell skada för den enskilde. Exempelvis identitetsstöld, skadat anseende eller ekonomisk förlust är möjliga följder för den enskilde vars personuppgifter berörs. Läs mer om personuppgiftsincidenter här.

 

Lugn – vi kan hjälpa er!

Skulle en personuppgiftsincident inträffa i er verksamhet hjälper vi er gärna att hantera incidenten och vidta de åtgärder som krävs. Kontakta oss gärna på support@gdprhero.se eller 046 – 273 17 17.

Ni kan också redan idag boka en demo med oss för att få information om hur ni kan vara förberedda om olyckan är framme. Ni kan boka en demo här.

 

Josefin Karlström

josefin@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This