Vad är en personuppgiftsincident?
En personuppgiftsincident innebär att personuppgifterna till en eller flera personer har utsatts för risk i samband med en säkerhetsincident av något slag. Detta gäller oavsett om det har skett avsiktligt eller av misstag. En personuppgiftsincident är en händelse som leder till
- oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter
- obehörigt röjande av personuppgifter
- obehörig åtkomst till personuppgifter.
Det måste alltså vara personuppgifter inblandade för att det ska räknas som en personuppgiftsincident.
Tre exempel på personuppgiftsincidenter
- När en anställd har skickat personuppgifter till en mottagare som inte skulle ha uppgifterna.
- Phishing-attacker, där någon blir lurad att lämna ut personuppgifter som kan användas till bedrägerier.
- Om en mobiltelefon som innehåller personuppgifter förloras när en anställd glömmer den på bussen.
Vill du lära dig mer om personuppgiftsincidenter och hur ni kan hantera dem? Ladda ner vårt faktablad på ämnet!
Felaktiga mailutskick – en vanlig personuppgiftsincident
Ungefär en tredjedel av de anmälda incidenterna är felaktiga brev- och mailutskick med personuppgifter som oavsiktligt hamnat hos fel mottagare. Låt oss titta på ett exempel och hur ni ska agera med hjälp av en av våra experter:
En enhetschef har skickat ett mail till 80 chefer, som var felaktiga mottagare inom organisationen. Mailet innehöll information om att en namngiven person har sagt upp sig och en frågeställning om en annan i mejlet namngiven person ska ha förtur till tjänsten. Är detta föremål för en incidentrapport?
Experten svarar:
Ja, detta är ett typiskt exempel på en incident som vi bedömer bör rapporteras till tillsynsmyndigheten enligt artikel 33 i GDPR. Detta eftersom det ”inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.” Det kan ju uppfattas som väldigt integritetskränkande att få sådana uppgifter spridda till ett så stort antal personer.
Framtida praxis kommer förhoppningsvis att ge mer vägledning om gränsdragningar i frågan om exakt vilka slags incidenter som ska anmälas och inte, men generellt gäller att det vid osäkerhet är bättre att anmäla än att inte göra det. Så har vi också förstått att tillsynsmyndigheterna resonerar.
Personuppgiftsincidentens konsekvenser är relevanta
Det relevanta när en incident har skett är inte bara hur den har uppkommit utan först och främst vad den innebär för konsekvenser. Om det inte är osannolikt att incidenten kan innebära en risk för de individer vars personuppgifter påverkas ska den anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Tänk på att dessutom informera de registrerade personerna om det innebär en hög risk för deras fri- och rättigheter i samband med att deras personuppgifter har äventyrats.
För att hantera personuppgiftsincidenter på ett enkelt och säkert sätt kan ni ta hjälp av Privacy Incident. Där kan ni kan anmäla och utreda eventuella incidenter direkt.