En personuppgiftsincident är en säkerhetshändelse som har påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter som ni behandlar. En incident har inträffat om personuppgifter har förstörts, oavsiktligt eller olagligt, gått förlorade eller röjts till någon obehörig.
När en incident sker behöver ni som personuppgiftsansvariga först fastställa allvaret och risken för de drabbade. Oavsett om det skett av misstag internt eller en dataläcka hos någon av era personuppgiftsombud så skall det rapporteras. Information om personer i e-post, på webben eller en kundlista i Excel-filer som enkelt kan korrigeras, behöver inte anmälas till Datainspektionen, men ni måste motivera beslutet och dokumentera detta.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Genom att sätta upp en lösning för incidenthantering internt så bygger ni upp en kunskap inom organisation, hur personuppgifter hanteras och ska behandlas för efterlevnad.
Hos större företag, kommuner och myndigheter så är det dataskyddsombudet (DPO) som företräder organisationen och ansvarar för hanteringen och bedömningen av incidenter enligt ovan.
Här är mina rekommendationer:
- Utse (om ni inte redan gjort det) ett dataskyddsombud. Denna funktion ska ha stark ställning i organisationen. Det viktiga är att dataskyddsombudet eller funktionen kan och känner verksamheten. Eftersom funktionen kan bestå av en grupp så tycker jag det borde vara första valet för de flesta inledningsvis.
- Dataskyddsombudet upprättar sedan ett tydligt policydokument om hur incidentrapportering kring personuppgifter ska ske och behandlas. Vilka ska rapportera till vilka och vad samt inom vilken tidsram.
- Dataskyddsombudet upprättar också systemstöd, en rapporteringskanal, där alla verksamhets- och systemansvariga samt personuppgiftsbiträden kan rapportera in alla incidenter som sker. Denna kanal ska naturligtvis skyddas enligt de regler som GDPR kräver.
- Glöm inte att rapporteringskanalen ska finns med i alla personuppgiftsbiträdesavtal under ”personuppgiftbiträdets skyldigheter” så att man säkerställer att misstag via e-post, Skype eller andra tjänster inte förekommer.
- Se till att kontinuerligt uppdatera nya system och processer som tillkommer samt betona vikten av att rapportera in alla incidenter. Om policydokumentet hålls levande så är det större chans att det efterföljs.
För att framgångsrikt efterleva dataskyddslagen så behöver organisationer investera i nya processer och systemstöd för dessa. Annars kommer de nya dataskyddslagarna bli svåra att efterleva.
Företag: SecureAppbox
E-post: anders@securemailbox.com
Expertområden: GDPR, internet, mobilitet, app-utveckling, molntjänster, e-signering, outsourcing, informationssäkerhet och privacy by design samt sekretess som standard.
Bakgrund: Har arbetat i 30 år med it och mjukvara över hela världen. Har skrivit böcker inom mobilt internet. Investerare i och grundare av flera internetföretag och it-säkerhetsföretag.
