Personuppgiftsincident

I den nya dataskyddsförordningen ställs det krav vid personuppgiftsincidenter.

Vissa typer av personuppgiftsincidenter skall anmälas till Datainspektionen inom 72 timmar efter det att överträdelsen har upptäckts. För att kunna uppfylla den nya förordningen är det viktigt att tillräckliga rutiner finns tillgängliga för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetshändelse som påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat om personuppgifter har:

  • förstörts, oavsiktligt eller olagligt;
  • gått förlorade eller ändrats;
  • röjts till någon obehörig.

Hur ser Företagsplatsens incidenthanteringsprocess ut?

Företagsplatsen ska dokumentera alla personuppgiftsincidenter, dess effekter och de åtgärder som vidtagits. Företagsplatsen har en grupp som sköter nödvändig samordning och kommunikation. Denna grupp har även ansvaret att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen.

Steg 1. Identifiera incidenten

I detta steg identifieras typen av incident.

Steg 2. Konsekvensanalys

I detta steg utförs en analys över omfattningen av kunder och användare som påverkas av incidenten och vad dess konsekvenser blir.

Steg 3. Åtgärdsprocess

I detta steg gör vi en bedömning och prioritering av problemet för att säkerställa en åtgärdsplan samt verkställandet av åtgärden. Att sammanställa och dokumentera incidenten ingår i detta steg. Vi utgår då från Datainspektionens mall som beskriver att information om följande skall finnas med:

  • Vilken typ av incident det är fråga om;
  • Vilka kategorier av personer som kan komma att beröras;
  • Hur många personer det berör;
  • Vilka konsekvenser incidenten kan få;
  • Vilka åtgärder man vidtagit för att motverka eventuella negativa konsekvenser.

Steg 4. Kommunikation

Incident och åtgärder kommuniceras ut till berörda.

Steg 5. Identifiering av ursprungsproblem

Syftet med detta steg är att genomföra en Root Cause Analysis för att på så sätt kunna förhindra att liknande problem uppstår igen.


« Gå tillbaka till sidan om integritet och ekonomisk rapportering