Bedömning av personuppgiftsincident

I dataskyddsförordningen (GDPR) finns en skyldighet för organisationer att anmäla vissa typer av personuppgiftsincidenter till Integritetskyddsmyndigheten (IMY). Anmälan ska ske inom 72 timmar från det att incidenten upptäcktes. Den personuppgiftsansvarige måste göra en bedömning då en personuppgiftsincident inträffat för att på så sätt avgöra om den ska anmälas till tillsynsmyndigheten IMY eller inte. Om det är troligt att personuppgiftsincidenten kommer att medföra en risk för de registrerade måste man som personuppgiftsansvarig anmäla till IMY. Men om det är osannolikt att en personuppgiftsincident medför risker behöver man inte meddela IMY utan endast dokumentera incidenten. Exempel på incident som bör anmälas till IMY är om ett IT-system hackas och personuppgifter läcks. Exempel på incident som inte behöver anmälas till IMY är Ett mejl med namn och interna ID skickas till en kollega, men personen arbetar inom samma organisation och har sekretessansvar. Det ska däremot alltid dokumenteras och diarieföras.

 

Denna e-tjänst är avsedd för alla medarbetare att rapportera händelser som rör informationssäkerhets- och personuppgiftsincidenter. Det är viktigt att rapportera incidenter så att vi snabbt och effektivt kan hantera dem för att skydda vår organisation och de registrerades fri- och rättigheter.

 

När ska en incident rapporteras?

Du ska anmäla en incident om du:

• vet att det inträffat en incident
• misstänker att det har inträffat en incident
• ser en risk för att det kan inträffa en incident 

 

En incident har inträffat om de personuppgifter eller den information vi behandlar:

• förstörts, oavsiktligt eller olagligt.
• gått förlorad eller ändrats.
• röjts till någon obehörig eller vid obehörig åtkomst, både externt och internt.
• är otillgänglig så att det påverkar verksamheten negativt.

Det spelar ingen roll om det skett oavsiktligt eller med avsikt.

 

Då ska du inte anmäla

Gäller det en IT-säkerhets incident ex. dataintrång, virusattacker, systemfel eller nätverksstörningar, felanmälan av IT-utrustning som dator, skrivare, telefon eller spam och lösenordsbyteska du kontakta IT-support. 

 

Hur rapporterar du en incident?

Du rapporterar en incident genom att svara på frågorna i e-tjänsten. Det innefattar en beskrivning av vad som hänt och att du skickar in din anmälan.

 

Vad händer efter att en incident rapporteras?

Efter att du rapporterat en incident tas den emot av informationssäkerhets- och/eller dataskyddssamordnare, som inleder en utredning av incidenten. Du kommer att få återkoppling under arbetets gång.

 

Stöd och frågor

Har du frågor eller behöver hjälp med att rapportera en incident, tveka inte att kontakta din chef. 

 

Tack för att du bidrar till ett bra dataskydds- och informationssäkerhetsarbete!