Secify.com

Checklista för hantering av incidenter kopplat till personuppgifter

20 juli, 2023
Uppdaterad: 30 augusti, 2023
Uppskattad lästid: 6 min

Introduktion

Så här identifierar och hanterar du en incident

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter som på något sätt behandlas inom er organisation.

Hur vet jag att en personuppgiftsincident har inträffat?

När det har skett en avvikelse från verksamhetens normala hantering av personuppgifter har en personuppgiftsincident inträffat. Det kan till exempel vara så att en av företagets servrar har drabbats av ett fel som gjort att personuppgifter gått förlorade eller att någon på företaget råkar lämna framme en pärm innehållandes personuppgifter i ett allmänt utrymme. Det kan också röra sig om en säkerhetsincident som inträffar där personuppgifter är inblandade på något sätt, exempelvis att en anställd råkar ladda ned ett virus till arbetsdatorn som krypterar personuppgifter så att de blir otillgängliga under en viss tid.

För att på ett enkelt sätt kunna identifiera om en personuppgiftsincident har inträffat har jag tagit fram en lista med händelser. Om händelsen stämmer in på någon av punkterna i listan nedan rör det sig om en personuppgiftsincident.

Händelsen har lett till en av följande effekter:

  • Personuppgifter har ändrats av misstag.
  • Personuppgifter har blivit korrupta.
  • Personuppgifter har försvunnit.
  • Något har hänt så att organisationen inte längre kan komma åt personuppgifterna, även om de finns kvar.
  • Personuppgifter har blivit synliga för någon som inte är behörig att se dem.
  • Någon har obehörigen berett sig tillgång till personuppgifter inom er organisation.
  • Någon utanför organisationen har obehörigen kommit åt personuppgifter som ni ansvarar över.
  • En anställd sparar personuppgifter från organisationen för privat användning.
  • Annan motsvarande händelse.

Vad gör jag när en personuppgiftsincident har inträffat?

När en personuppgiftsincident inträffar gäller det att man agerar snabbt och på rätt sätt. Dataskyddsförordningen (GDPR) ställer tydliga krav på att en personuppgiftsincident ska anmälas till integritetsskyddsmyndigheten (IMY) inom 72 timmar från att den upptäckts. Men… det är inte alla personuppgiftsincidenter som behöver anmälas till IMY utan i de flesta fall räcker det med att de dokumenteras internt. Oavsett om händelsen är anmälningspliktig behöver man dock för att kunna uppfylla 72-timmarskravet bedöma om den är anmälningspliktig. Med andra ord behöver alla personuppgiftsincidenter hanteras inom 72 timmar. 

För att kunna hantera personuppgiftsincidenter inom rätt tid underlättar det att ha interna rutiner på plats som beskriver hur hanteringen ska gå till. Man får inte heller glömma vikten av att utbilda personalen i vad en personuppgiftsincident faktiskt är eftersom en personuppgiftsincident aldrig kan upptäckas om man inte vet hur man ska känna igen den.  

Har ni ingen rutin för personuppgiftsincidenter – fear not! Nedan har jag sammanställt de steg ni behöver känna till. Denna lista kan användas vid krisfall, men det bästa är att upprätta en intern rutin som gäller för just er verksamhet och då kan ni utgå från punkterna i listan nedan för att skapa rutinen. 

1. Rapportering

Det första steget när en personuppgiftsincident har inträffat och upptäckts är att ta fram och följa den rutin för personuppgiftsincidenter som finns på arbetsplatsen. I denna rutin bör det första steget vara att antingen kontakta ansvarig person på företaget, företagets funktionsbrevlåda (t.ex. dataskyddsombud@företag.se) och/eller företagets dataskyddsombud om en sådan finns. Detta ska ske så snabbt som möjligt.

2. Den första riskbedömningen

Efter att händelsen har rapporterats till den/de personer som är utsedda att hantera personuppgiftsincidenter ska dessa personer utföra en första riskbedömning. Den första riskbedömningen går ut på att bedöma risken för att de registrerade utsätt för en negativ konsekvens på grund av det inträffade. Detta uttrycks i dataskyddsförordningen som att man ska bedöma risken för de registrerades ”fri- och rättigheter”. Nedan har jag listat de faktorer som ska tas i beaktning vid denna riskbedömning:

  • Personuppgifternas karaktär, känslighet och volym (antal)
    Vad är det för slags uppgifter, vad kan hända om de kommer i fel händer?
    Kan uppgifterna kombineras på ett sätt som ökar risken för negativa konsekvenser? T.ex. identitetsuppgifter + finansiella uppgifter.
  • Identifierbarhet
    Hur enkelt är det att identifiera en person utifrån uppgifterna vid incidenten? Hur pass enkelt det är beror exempelvis på om uppgifterna var psuedonymiserade eller krypterade och vilken typ av personuppgift det gällde.
  • Konsekvensernas svårighetsgrad för enskilda personer
    Konsekvenserna av en personuppgiftsincident kan anses vara särskilt allvarliga om incidenten riskerar att leda till exempelvis identitetsstöld, bedrägeri eller skadat anseende. Misstänker ni att personuppgifter har hamnat hos personer vars avsikter möjligtvis kan vara skadliga medför det en högre risk för negativa konsekvenser av ett obehörigt röjande. Om uppgifterna har råkat skickas till en mottagare som anses vara betrodd (t.ex. någon inom organisationen som har tystnadsplikt) minskar risken för negativa konsekvenser för den registrerade betydligt.
  • Den enskildas speciella egenskaper
    Ta hänsyn till vilka de registrerade är och om det finns egenskaper hos dem som kan göra att en incident får mer allvarliga effekter. En personuppgiftsincident kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, t.ex. barn eller andra personer i en mer sårbar ställning, men även andra faktorer hos den registrerade kan beaktas.
  • Den personuppgiftsansvariges speciella egenskaper
    Ta hänsyn till vilken typ av verksamhet som personuppgiftsincidenten inträffat i.
  • Antal personer som påverkas
    Ofta får en personuppgiftsincident större negativ effekt ju fler individer som påverkas. Men, stirra er inte blinda på antalet utan en incident kan få svåra följder även om den bara drabbat en person. Ta hänsyn till effekternas sannolikhet och hur svårt de skulle drabba de berörda personerna.

3. Beslut gällande resultatet av den första riskbedömningen

Efter att ni har sett händelsen till sin kontext och beaktat de omständigheter som listats ovan gäller det att komma till en slutsats avseende risken för de registrerades fri- och rättigheter.

Om det är osannolikt att den registrerade kan utsättas för risk avseende dennes fri- och rättigheter behöver ni inte göra en anmälan till tillsynsmyndigheten, däremot behöver incidenten ändå dokumenteras (se punkt 5 nedan).

Om det inte är osannolikt att den registrerade kan utsättas för risk avseende dennes fri- och rättigheter ska en anmälan göras till tillsynsmyndigheten IMY på deras hemsida. à Anmäl personuppgifts­incident | IMY

Beslutet måste tas inom 72 timmar från att händelsen upptäcktes eftersom det är tidskravet på anmälan till IMY om man landar i att händelsen är anmälningspliktig. Om man inte hinner få ihop all information som behöver nedtecknas i IMY:s webbformulär kan man göra en anmälan för att sedan komplettera med mer information senare. Det är alltså viktigare att vara snabb än att vänta på att göra en helt fullständigt korrekt anmälan. Om man anmäler efter 72 timmar behöver man till och med ange ett legitimt skäl till förseningen.

4. Den andra riskbedömningen

Om resultatet av den första riskbedömningen landade i att det inte är osannolikt att den registrerade kunde utsättas för risk avseende dennes fri- och rättigheter och att en IMY-anmälan därför ska göras, gäller det att även bedöma huruvida risken för den registrerades fri- och rättigheter kan anses hög eller inte hög. Om risken är hög ska den registrerade kontaktas och informeras om incidenten. Syftet med att informera den registrerade är att ge denne möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador som kan inträffa på grund av händelsen. Tidskravet på att informera de registrerade är att det ska ske ”utan onödigt dröjsmål”, vilket betyder att det ska ske så snabbt som möjligt.

I listan nedan finns faktorer som ensamma eller tillsammans med andra kan innebära att det föreligger en risk för registrerades rättigheter och friheter som anses hög.

  • Känsliga personuppgifter är inblandade
  • Personuppgifter har röjts till ett mycket stort antal personer
  • Uppgifterna var inte krypterade
  • Händelsen kan leda till ekonomisk förlust
  • Händelsen kan leda till identitetsstöld, bedrägeri eller annan immateriell skada
  • Händelsen kan leda till otillbörlig profilering av enskilda

Undantag: Även om det föreligger en hög risk för registrerades fri- och rättigheter behöver inte varje enskild person informeras om det rör sig om ett mycket stort antal personer eftersom det kan innebära en s.k. ”oproportionell ansträngning”. I sådant fall får man i stället informera allmänheten. Det kan innebära att skicka ut ett mail till samtliga kunder, medlemmar, eller motsvarande kategori av drabbade personer, alternativt publicera en text på hemsidan.

Vid en informationslämning till de registrerade ställer GDPR krav på vissa punkter som måste finnas med. Dessa är:

  • En beskrivning av incidenten
  • Namn och kontaktuppgifter till dataskyddsombudet
  • En beskrivning av de sannolika konsekvenserna av incidenten
  • En beskrivning av vad ni har gjort eller tänker göra för att hantera incidenten
  • En beskrivning av vad ni har gjort eller tänker göra för att mildra eventuella negativa effekter

5. Dokumentation

Oavsett vilken typ av incident – om den är anmälningspliktig till IMY eller ej – ska alla incidenter dokumenteras internt. Dokumentationen behöver innehålla följande delar:

  • En beskrivning av omständigheterna kring incidenten.
    • Beskrivningen ska vara tillräckligt detaljerad för att någon annan inom organisationen, t.ex. ett dataskyddsombud, någon i ledningen eller en verksamhetschef, ska kunna förstå.
  • En beskrivning av effekterna av incidenten.
  • En beskrivning av de åtgärder som har vidtagits.
    • Detta gäller såväl åtgärder som har vidtagits för att förhindra eller minska risken för skada av den drabbades fri- och rättigheter, som åtgärder som vidtagits för att förhindra att en liknande situation skulle uppstå igen, såsom samtal med en medarbetare eller nya organisatoriska rutiner.

Dokumentationen kan göras på vilket som helst, till exempel sparas i en pärm eller i ett särskilt IT-system. Viktigt att tänka på är att inte ange några personuppgifter i dokumentationen, exempelvis gällande vilken registrerad som drabbats eller vilken anställd som gjort fel, eftersom det i sig är en onödig personuppgiftsbehandling.

Syftet med att dokumentera incidenter är att tillsynsmyndigheten IMY ska kunna kontrollera om ni följer GDPR:s regler för hantering av personuppgiftsincidenter. Ni ska därför kunna motivera era ställningstaganden. Dokumentationen är även viktigt för att ni för egen del ska kunna se mönster och proaktivt kunna motverka att samma typ av personuppgiftsincident inträffar igen.

Vad gör jag efter att en personuppgiftsincident har hanterats?

Syftet med att dokumentera personuppgiftsincidenter är enligt GDPR att möjliggöra för tillsynsmyndigheten att kontrollera att ett företag eller en myndighet kan hantera personuppgiftsincidenter korrekt och effektivt. Gör man inte det riskerar man att få en dyr sanktionsavgift. Men, det är enligt min mening viktigt att man ser dokumentationen av personuppgiftsincidenter som en viktig del i företagets/myndighetens kvalitetsarbete. Incidentdokumentationen kan och bör användas för att exempelvis identifiera systematiska brister i det organisatoriska arbetet eller tekniska IT-säkerhetsbrister. När bristerna har identifierats kan de oftast lösas med relativt små medel, men om man inte dokumenterar och följer upp avvikelser är det svårare att upptäcka bristerna. Till slut kanske något riktigt allvarligt händer.

Nedan är exempel på frågor som ni kan ställa till er själva för att upptäcka brister utifrån incidentdokumentationen:

  • Är de tekniska och organisatoriska säkerhetsåtgärderna tillräckliga?
  • Har de anställda tillräcklig utbildning?
  • Om incidenten skett hos en leverantör, vågar ni fortsättningsvis lita på leverantören?
  • Bör behörighetsstyrningen ändras? Ska åtkomsten för vissa anställda återkallas?

Slutligen, ingen kan göra allt rätt. Vi är inte mer än människor och människor gör misstag, vare sig det handlar om den s.k. ”mänskliga faktorn” eller att vi litat på att en viss leverantör verkligen kan garantera den säkerhet som utlovats. Det vi kan göra är att följa upp dataskyddsarbetet och lära oss av våra misstag. Kom ihåg att alla inom organisationen behövs för att kunna hantera och följa upp personuppgiftsincidenter – ofta är det ”på golvet” som incidenter sker och där har organisationsledningen ett viktigt ansvar att ge anställda tydlig vägledning, sätta upp enkla rutiner och ge relevant utbildning för att anställda lätt ska kunna göra rätt.

2023-08-30T14:28:18+02:00
Till toppen