Incidenterna har blivit fler och allvarligare under de senaste åren. Speciellt efter kriget i Ukraina började och omvärldsläget ändrades. Incidenterna är ofta väldigt allvarliga för verksamheten. Många gånger stänger det ner hela verksamheten och kan på sikt göra att företaget går i konkurs.
Reglerna som handlar om incidenter är en del av GDPR och till för att skydda vår personliga integritet, de har alltså ett gott syfte. Personuppgifter är ett brett begrepp med en bred tolkning. När det skett en incident är många gånger personuppgifter inblandade.
Det finns krav på att anmäla när en incident har skett. NIS-lagen ställer krav som syftar till att skydda samhällsviktig verksamhet och digitala tjänster. Enligt den måste man anmäla incidenter utan onödigt dröjsmål till MSB. Säkerhetsskyddslagen ställer andra krav som handlar om att anmäla IT-incidenter till säkerhetspolisen i de fall det finns ”skäl att anta att en säkerhetsskyddsklassificerad uppgift” otillåtet kan ha röjts eller systemet har betydelse för säkerhetskänslig verksamhet och incidenten allvarligt kan påverka säkerheten i systemet.
Incidentreglerna enligt GDPR
Kraven i GDPR innehåller en anmälningsskyldighet för vissa typer av incidenter. Därefter ska individerna som kan ha blivit utsatta informeras och det finns ett krav att dokumentera incidenten som skett och det ska finnas en allmän säkerhet där man måste förebygga incidenter.
1. Vad är en personuppgiftsincident?
För att kunna hantera en personuppgiftsincident så måste man kunna fastställa att det är en personuppgiftsincident som inträffat, och då måste man känna till vad en personuppgift är.
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter samt obehörigt röjande eller obehörig åtkomst till personuppgifter.
Olika typer av personuppgiftsincidenter
- Konfidentialitetsincident: Obehörigt eller oavsiktligt röjande av, eller åtkomst till personuppgifter vilket kan handla om att någon får tillgång till information som man inte skulle ha tillgång till. Det kan handla om att en dator blir stulen, eller att en mottagarlista för ett e-postutskick blir synlig för alla på listan. Det kan även handla om virus eller felskick av e-post.
- Integritetsincident: Obehörig eller oavsiktlig ändring av personuppgifter vilket kan handla om att en person som har tillgång till ett system ändrar eller raderar personuppgifter utan tillåtelse. Det kan även ske av tekniska fel.
- Tillgänglighetsincident: Obehörig eller oavsiktlig förlust av, åtkomst till, eller förstöring av personuppgifter, vilket exempelvis handlar om att uppgifter raderas som när en molntjänst ligger nere eller strömavbrott. Det kan handla om patientjournaler man inte når när den behövs.
Exempel på vad som inte är en personuppgiftsincident är planerat systemunderhåll och behandling av uppgifter man inte fick behandla – det senare bryter dock mot andra regler enligt GDPR.
➡ Missa inte det kostnadsfria webbinariet NIS2.
2. När ska en incident anmälas?
En personuppgiftsincident ska anmälas om det inte är osannolikt att incidenten medför en risk för de registrerades integritet. Den ska anmälas senast inom 72 timmar från att personuppgiftsansvarige fått vetskap men så snabbt som möjligt. Om man misstänker att det skett en incident kan man få möjlighet att göra en kort undersökning som inte räknas med i de 72 timmar som angetts. Information gällande komplexa personuppgiftsincidenter kan lämnas i omgångar.
Incidenten ska rapporteras till IMY i det fall de är ansvarig tillsynsmyndighet. Där finns ett formulär som man fyller i. Detta blir en offentlig handling.
3. När har man ”fått vetskap”?
En vanlig fråga är när det räknas att man har fått vetskap om till exempel en anställd tappar bort en dator. Praxis säger att personalen ska veta hur de ska göra och hur de ska rapportera vidare. Men den personuppgiftsansvariga har en viss frist för att få informationen.
4. När behöver en incident inte anmälas?
I praktiken så behöver man inte anmäla när det är ett enstaka felskickat mejl eller väldigt okänsliga personuppgifter ska man inte behöva anmäla. Men det behövs göras en riskbedömning där man tittar om det finns någon skada, hur stor den är och hur stor sannolikhet det är att den inträffar. Man behöver framförallt titta på uppgifternas känslighet och mängden uppgifter. Redan offentliggjorda uppgifter kan undantas från plikten att anmälas men allting behöver alltid dokumenteras.
5. Hur ska de registrerade informeras?
Anledningen att vi har de här reglerna är att individerna ska skyddas. Därför ska information ges när det finns hög risk för dessa människors rättigheter och friheter. Syftet är att de själva ska kunna vidta åtgärder. En hög risk för individerna kan till exempel vara risk för fysiska, materiella eller immateriella skador. Det kan vara hälsodata, lösenord, identitetsuppgifter, kreditkortsuppgifter, omfattande information om personer och finansiella uppgifter. GDPR ställer krav på att individerna ska informeras och de ska kontaktas på bästa sätt, till exempel via e-post, sms och post. Man kan även komplettera med banners på webbsidan och annonser i media.