Hantera misstänkta personuppgifts­incidenter snabbt och säkert

Personuppgiftsincidenter händer ofta snabbt och oväntat. Så fort en incident upptäcks behöver ni göra en intern utredning och avgöra om händelsen måste anmälas. Med vårt verktyg för incidenter går utredningen snabbt och dokumentationen blir korrekt.

Strukturera ert arbete nu - så ni kan spara tid imorgon

Med rutiner för att upptäcka och utreda misstänkta personuppgiftsincidenter är halva arbetet gjort. För när en incident väl sker måste ni snabbt analysera händelsen och fatta flera beslut: 

  • Vad är orsaken till incidenten?
  • Hur många personer är drabbade? 
  • Innebär incidenten en risk för de drabbade?
  • Ska de drabbade informeras?

En personuppgiftsincident är sällan en isolerad händelse - det kräver att hela organisationen vet vad som ska göras. Med ett systematiskt dataskyddsarbete sparar ni tid och hanteringen blir enklare. Er dokumentation finns samlad och ni kan dra lärdomar från tidigare incidenter. 

personuppgiftsincidenter-statistik-imy-2019_alt3.svg

De vanligaste typerna av personuppgiftsincidenter baserat på IMY:s rapport Anmälda personuppgiftsincidenter 2019.

Vad räknas som en personuppgiftsincident?

En personuppgiftsincident är när en eller flera personer utsätts för eventuell risk när deras personuppgifter på något sätt har äventyrats. Den juridiska definitionen av en personuppgiftsincident finns i dataskyddsförordningen, artikel 4.12: 


en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. 


Personuppgifterna behöver inte nödvändigtvis ha använts fel av obehöriga personer, utan det kan räcka med att information har blivit tillgänglig för personer som inte bör ha åtkomst. Dataskyddsförordningen gör ingen skillnad på om incidenten var avsiktlig eller ett misstag. För att undvika onödiga risker är det lämpligt att genomföra en konsekvensbedömning av vissa typer av behandlingar. 

Vad innebär obehörig åtkomst till personuppgifter?

En vanlig typ av personuppgiftsincident är när någon fått obehörig åtkomst till personuppgifter. Obehörig åtkomst innebär att någon utan tillåtelse har fått tillgång till personuppgifter. Det kan till exempel ske genom att

  • behörigheter till ett IT-system har tilldelats felaktigt eller för generellt
  • personuppgifter har funnits tillgängliga på en gemensam lagringsyta utan behörighetsstyrning
  • en person medvetet skaffar sig åtkomst till personuppgifter trots att hen saknar rätten att göra det.

64_energy-purple.svg

 

Obehörig åtkomst kan vara både intern eller extern, och kan ske oavsiktligt eller avsiktligt. En särskild kategori av obehörig åtkomst är så kallade phishing-attacker eller nätfiske. Det innebär att internetanvändare luras att lämna ut känslig information som sedan kan användas till bedrägerier. Granska er strategi för dataskyddsarbetet för att upptäcka möjliga risker i er organisation.

Utbilda organisationen och minska risken för incidenter

Visste du att hälften av alla personuppgiftsincidenter beror på den mänskliga faktorn? De vanligaste orsakerna  är felaktig behörighet eller mail som helt enkelt skickas till fel mottagare. 


Genom att utbilda organisationen i dataskydd minskar risken för att incidenter sker av okunskap. Med Privacy E-learning är det enkelt för alla att delta. Översikten ger dig kontroll på vem som genomfört kursen och det enkelt att lägga till andra relevanta kurser när ni vill. 

Digital utredning och analys samlat på ett ställe

Det är inte alla incidenter som måste anmälas till Integritetsskyddsmyndigheten (IMY), men alla incidenter måste dokumenteras. Med vår lösning Privacy Incident får du stöd genom utredningen som ger dig svar på om du måste göra en anmälan. Samtidigt hjälper verktyget att ta dig från utredning till uppföljning och statistik. 


Boka din visning idag så berättar vi mer!

 

För att ta del av information och aktiviteter på Visma behöver vi ditt samtycke