Så hanterar du personuppgiftsincidenter enligt kraven i GDPR

Denna artikel är skriven i samarbete med MAQS Advokatbyrå.

Har du koll på vem som gör vad vid en personuppgiftsincident? Hur ska man veta vad som är en personuppgiftsincident och när en sådan ska anmälas? Vem bestämmer det? Och vad ska vi egentligen hinna med under dessa 72 timmar? Frågorna är många, vi ska försöka bena ut vad det är som gäller.

Det praktiska arbetet är viktigt

Kravet på anmälan och annan hantering vid en personuppgiftsincident innebär bl.a. att alla företag och organisationer måste förbereda sig praktiskt för att kunna uppfylla sina skyldigheter. Precis som vad som gäller för flertalet andra krav enligt Dataskyddsförordningen, har det praktiska arbetet avgörande betydelse för att ett företag ska kunna följa reglerna. En förberedd organisation är en viktig pusselbit.  

Vad är en personuppgiftsincident?

I dataskyddsförordningen definieras en personuppgiftsincident som "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats". Det kan bl.a. handla om att personuppgifter spridits till andra än de som ska ha tillgång till dem eller att personuppgifterna har förstörts eller på annat sätt försvunnit när det inte har varit avsikten.

Exempel:

• Personuppgifter har oavsiktligen raderats
• Personuppgifter har spridits, genom exempelvis ett felsänt e-postmeddelande, brister i behörighetskontroll för åtkomst till IT-system eller genom avsiktliga angrepp på ett företags IT-system.

Vad säger Dataskyddsförordningen om vad vi ska göra?

Det är naturligtvis viktigt att för det första undvika att det inträffar personuppgiftsincidenter. Ett medvetet säkerhetsarbete, som innefattar både tekniska och organisatoriska säkerhetsåtgärder, är en förutsättning för att minska risken för personuppgiftsincidenter.

Om en personuppgiftsincident ändå inträffar så innebär det att ett flertal krav och skyldigheter i Dataskyddsförordningen aktualiseras.

1. Lär er att upptäcka personuppgiftsincidenter

Utbilda era medarbetare så att alla kan grunderna i Dataskyddsförordningen. Lägg extra krut på att utbilda de i personalen som behandlar mycket personuppgifter, exempelvis HR, och de som har ansvar för säkerhet och system, exempelvis chefer/systemägare och IT. Identifiera de områden där ni ser att det finns en större risk att en incident kan inträffa. Exempel: e-posthanteringen (phishing, felskick av meddelanden m.m.), hantering av arbetstelefoner (borttappad smartphone) och övriga intrång i IT-system. Se till att utbilda och informera specifikt kring dessa områden.   

2. Skapa tydliga rapporteringsvägar

Det är såklart viktigt att alla medarbetare vet vart och till vem de ska vända sig om de får kännedom om eller tror att det inträffat en incident. Skapa rutiner och informera om dessa samt kontrollera med jämna mellanrum att medarbetarna vet vad som gäller.  

3. Skapa beslutsforum

Om en incident rapporteras av en medarbetare gäller det att ni kan hantera situationen på ett bra sätt. Ni behöver kunna ta ställning till följande frågor:

• Ni ska bedöma om det som rapporterats är en personuppgiftsincident (krävs det vidare utredning? Vem gör det? Behövs extern hjälp?).
• Ni ska bedöma om det är en sådan incident som ska anmälas till Datainspektionen. Vem fattar beslutet? Beslutet att anmäla incidenten till Datainspektionen innefattar strategiska överväganden.
• Ni ska fylla i anmälan. I detta ligger ett övervägande om vilka uppgifter som ska lämnas. Vilka uppgifter ska vi inte lämna? Datainspektionen skriver följande: ”Undvik uppgifter som ni inte vill röja. All information ni lämnar här kommer att bli allmän handling. Det innebär att informationen kan komma att behöva lämnas ut om någon begär det, och det inte finns någon bestämmelse om sekretess som hindrar ett utlämnande. Vi rekommenderar därför att ni inte lämnar fler uppgifter än vad som är nödvändigt i fritextfälten. Om ni ändå väljer att skriva något som ni anser bör omfattas av sekretess, använd fritextfältet sist i formuläret för att beskriva vad som i så fall enligt er bör vara sekretessbelagt. Oavsett detta är det Datainspektionen som slutligen avgör om en handling kan lämnas ut eller inte.”
• Ni ska bedöma om effekten av incidenten är sådan att ni är skyldiga att informera den registrerade om personuppgiftsincidenten. Ni ska då också bestämma hur sådan information lämnas och vilket innehåll informationen ska ha.

Förbered den eller de grupper som ska hantera de interna rapporterna om incidenter. Se till att gruppen är beslutsför. Förbered eventuella externa experter så att de är insatta i er verksamhet om ni behöver snabb hjälp (IT-experter, jurister m.fl.).  

4. Skapa stöddokument

Det är viktigt att ni dokumenterar era åtgärder. Förbered dokumentation och mallar för de åtgärder som ni ser kommer att behöva vidtas. Exempel: Mall för den interna rapporteringen av incident (ett standardmail med vissa frågor som ska besvaras). Protokoll över möte i gruppen som behandlar incidenten, med beslutspunkt. 

Allvarliga konsekvenser

Om företaget inte hanterar personuppgiftsincidenter på ett korrekt sätt kan det få allvarliga konsekvenser för de drabbade personerna (hemliga uppgifter kommer ut, lösenord kommer i orätta händer m.m.). Och för företaget kan det innebära en överträdelse av Dataskyddsförordningen som kan leda till att företaget måste betala sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala omsättningen. Det finns alltså – som så ofta – flera goda skäl att göra rätt!

Vill du vara säker på att det blir rätt?

Med Servicepaket Dataskydd i arbetslivet får du svar på vad som gäller och stöd i ditt GDPR-arbete. Vi samarbetar med några av Sveriges bästa GDPR-advokater och gör det enkelt för dig som arbetsgivare att anpassa dig till reglerna. Få tillgång till paketet