Personuppgiftsincidenter - så skyddar du din organisation

Tobias Granlund 19 augusti, 2020

Introduktion

Så motverkar du incidenter kopplat till personuppgifter

Idag ska vi närma oss det skrämmande ämnet personuppgiftsincidenter, och hur organisationer på bästa möjliga sätt förhindrar att dessa inträffar. Men innan vi diskuterar incidenter, är det viktigt att förstå syftet med GDPR.

Personuppgiftsansvaret

GDPR reglerar i grund och botten vad en organisation (en personuppgiftsansvarig) får göra med en personuppgift och hur den får behandlas. Utgångspunkten i GDPR är att det är individen som äger och bestämmer över sin egen personuppgift. Vill en organisation behandla en personuppgift måste det finnas ett medgivande eller ett starkt skäl till registreringen. Tillsammans med registreringen med följer också stort ansvar att förvalta uppgifterna.

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt. Det innebär att organisationen bara får samla in uppgifter för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandla uppgifterna på ett sätt som skiljer sig ifrån dessa ändamål.

Personuppgifterna ska vara relevanta och inte för omfattande. Behöver organisationen inte använda till exempel personens hemadress i samband med ändamålet så ska den heller inte registrera uppgiften. Uppgiften måste också vara korrekt och uppdaterad. Personuppgifter får heller inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt. Avslutningsvis ska personuppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, vilket innebär skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. När dessa principer inte uppfylls (antingen ensamt eller i kombination) så resulterar detta inte sällan i en så kallad personuppgiftsincident.

En personuppgiftsincident kan komma i flera olika former. Det kan till exempel röra sig om:

Felaktiga utskick av brev eller e-post som innehåller personuppgifter som oavsiktligt hamnat hos fel mottagare
Obehörig åtkomst, vilket innebär att någon olovligen berett sig tillgång till personuppgifterna, till exempel genom att behörigheter till ett IT-system har tilldelats felaktigt eller för generellt. Även så kallade phishingattacker är vanligt förekommande orsak till obehörig åtkomst.

Men varför sker dessa incidenter?

Incidenten går ofta att härleda till dessa fem delar:

Ledningen
Anställda
System och processer
Externa parter
Externa och interna angripare

En separat del eller tillsammans med flera av dessa ovanstående, utgör ofta grunden till en incident.

Hur gör vi?

Hur ska då en organisation agera för att förhindra dessa risker?

Ledningen

Ledningen är ofta en hörnsten i organisationens dataskydd (även om de inte sällan är omedvetna om detta). Eftersom de innehar en bestömmanderoll kommer ledningens medvetenhet och strävan mot ett effektivt dataskydd, att utgöra grunden för verksamheten och de anställdas utveckling inom området.

Läs mer

Ledningen bör därför arbeta aktivt för att engagera och skapa medvetenhet inom resterade delar av organisationen. Det kan ske genom att dels förmedla tydliga riktlinjer och hjälpmedel, i form av till exempel policydokument (en ”guide” för identifiering och hantering av incidenter), samt genom digitala lösningar som förenklar verksamhetens arbete med dataskydd, exempelvis ett avvikelsesystem.

Anställda

Medarbetarna i organisationen har ett stort ansvar vid eftersträvan mot ett effektivt dataskydd, och inte minst förhindrandet av personuppgiftsincidenter. Det är därför väldigt viktigt att anställda får ta del av all dokumenterad vägledning rörande dataskydd, men också att organisationen investerar resurser i att utbilda anställda inom dataskydd, så att det lättare kan identifiera och förmildra incidenter. De anställda ska även om möjligt ha någon som de kan vända sig till och söka vägledning, exempelvis, en CISO, CIO eller dataskyddsombud.

System och processer

Den här delen innefattar inte uteslutande funktionen mellan hårdvara och mjukvara, utan hur system och processer är uppsatta med dataskydd i åtanke. Alla system och processer som innefattar någon form av personuppgiftsbehandling ska vara tydligt kartlagda och uppbyggda så att organisationen kan få en god insyn och kontroll över de personuppgiftsbehandlingar som förekommer inom er organisation.

Externa parter

Den här delen kan delas upp i två delar. Den första delen rör era personuppgiftsbehandlande underleverantörer (era personuppgiftsbiträden). En organisation som innehar rollen som personuppgiftsansvarig måste ha en tydlig och kommunicerad kravställning mot dennes underleverantörer.

Läs mer

Ni sätter ribban och underleverantörerna måste följa den (särskilt om ni bedriver verksamhet som kan kategoriseras som samhällskritisk). Säkerställ även att tydliga instruktioner överlämnats till underleverantören hur denne ska agera vid en identifierad incident, oavsett om de orsakat den själva eller enbart identifierat den. Detta görs lättast genom uppförandet av ett tydligt och utförligt personuppgiftsbiträdesavtal, där ni förmedlar de krav ni har, vilket ska undertecknas innan personuppgiftsbehandlingen inleds. Om ni anser att utformning och bedömning av biträdesavtal känns osäkert, ta då hjälp av en sakkunnig jurist.

Externa och interna angripare

Externa angrepp utgör enbart ca 10% av anmälda incidenter, dock är det inte ovanligt att dessa angripare upptäcks långt efter själva angreppet. Det bästa försvaret är ofta en kombination av samtliga ovanstående.

Läs mer

Interna angrepp, utförda av anställda är även förekommande. För att förhindra att detta sker rekommenderas er organisation att dels att uppföra tydliga sekretessförbindelser mellan de anställda och organisationen, samt att införa en välstrukturerad rutin för tilldelning av behörigheter inom era digitala miljöer (exempelvis inom ert intranät). Detta ska innefatta en motiverad tilldelning av läs-och skrivrättigheter. Det kan även starkt rekommenderas att förse dessa digitala miljöer med någon form av logg-övervakning (med förutsättningen att det inte medför att de anställdas integritet kränks)

Avslutningsvis

Om ni identifierar en incident anmäl den inom 72h till Datainspektionen. Om incidenten inte medfört någon risk för de registrerade (ägarna av personuppgifterna), ska organisationen alltid dokumentera händelsen och därmed lära ifrån avvikelsen, så att likande avvikelse inte sker i framtiden.

Om
Senaste inläggen

Tobias Granlund

IT-jurist på Secify

Tobias arbetar på Secify som IT-jurist inom områdena GDPR, FHL, NIS och generell informationssäkerhet. Han är dataskyddsombud för ett antal företag samt föreläser om GDPR och FHL.

Senaste inläggen av Tobias Granlund

Nya standardavtalsklausuler – vad är nytt och vad måste ni göra? - 1 november, 2021
Dataöverföringar till tredje land – det här ska du tänka på - 16 juni, 2021
Privacy Shield, slutet för transatlantisk dataöverföring? - 21 augusti, 2020

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.