Checklista för hantering av incidenter kopplat till personuppgifter

Emma Härdling 20 juli, 2023

Introduktion

Så här identifierar och hanterar du en incident

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter som på något sätt behandlas inom er organisation.

Hur vet jag att en personuppgiftsincident har inträffat?

När det har skett en avvikelse från verksamhetens normala hantering av personuppgifter har en personuppgiftsincident inträffat. Det kan till exempel vara så att en av företagets servrar har drabbats av ett fel som gjort att personuppgifter gått förlorade eller att någon på företaget råkar lämna framme en pärm innehållandes personuppgifter i ett allmänt utrymme. Det kan också röra sig om en säkerhetsincident som inträffar där personuppgifter är inblandade på något sätt, exempelvis att en anställd råkar ladda ned ett virus till arbetsdatorn som krypterar personuppgifter så att de blir otillgängliga under en viss tid.

För att på ett enkelt sätt kunna identifiera om en personuppgiftsincident har inträffat har jag tagit fram en lista med händelser. Om händelsen stämmer in på någon av punkterna i listan nedan rör det sig om en personuppgiftsincident.

Händelsen har lett till en av följande effekter:

Personuppgifter har ändrats av misstag.
Personuppgifter har blivit korrupta.
Personuppgifter har försvunnit.
Något har hänt så att organisationen inte längre kan komma åt personuppgifterna, även om de finns kvar.
Personuppgifter har blivit synliga för någon som inte är behörig att se dem.
Någon har obehörigen berett sig tillgång till personuppgifter inom er organisation.
Någon utanför organisationen har obehörigen kommit åt personuppgifter som ni ansvarar över.
En anställd sparar personuppgifter från organisationen för privat användning.
Annan motsvarande händelse.

Vad gör jag när en personuppgiftsincident har inträffat?

När en personuppgiftsincident inträffar gäller det att man agerar snabbt och på rätt sätt. Dataskyddsförordningen (GDPR) ställer tydliga krav på att en personuppgiftsincident ska anmälas till integritetsskyddsmyndigheten (IMY) inom 72 timmar från att den upptäckts. Men… det är inte alla personuppgiftsincidenter som behöver anmälas till IMY utan i de flesta fall räcker det med att de dokumenteras internt. Oavsett om händelsen är anmälningspliktig behöver man dock för att kunna uppfylla 72-timmarskravet bedöma om den är anmälningspliktig. Med andra ord behöver alla personuppgiftsincidenter hanteras inom 72 timmar.

För att kunna hantera personuppgiftsincidenter inom rätt tid underlättar det att ha interna rutiner på plats som beskriver hur hanteringen ska gå till. Man får inte heller glömma vikten av att utbilda personalen i vad en personuppgiftsincident faktiskt är eftersom en personuppgiftsincident aldrig kan upptäckas om man inte vet hur man ska känna igen den.

Har ni ingen rutin för personuppgiftsincidenter – fear not! Nedan har jag sammanställt de steg ni behöver känna till. Denna lista kan användas vid krisfall, men det bästa är att upprätta en intern rutin som gäller för just er verksamhet och då kan ni utgå från punkterna i listan nedan för att skapa rutinen.

1. Rapportering

Det första steget när en personuppgiftsincident har inträffat och upptäckts är att ta fram och följa den rutin för personuppgiftsincidenter som finns på arbetsplatsen. I denna rutin bör det första steget vara att antingen kontakta ansvarig person på företaget, företagets funktionsbrevlåda (t.ex. dataskyddsombud@företag.se) och/eller företagets dataskyddsombud om en sådan finns. Detta ska ske så snabbt som möjligt.

2. Den första riskbedömningen

Efter att händelsen har rapporterats till den/de personer som är utsedda att hantera personuppgiftsincidenter ska dessa personer utföra en första riskbedömning. Den första riskbedömningen går ut på att bedöma risken för att de registrerade utsätt för en negativ konsekvens på grund av det inträffade. Detta uttrycks i dataskyddsförordningen som att man ska bedöma risken för de registrerades ”fri- och rättigheter”. Nedan har jag listat de faktorer som ska tas i beaktning vid denna riskbedömning:

Personuppgifternas karaktär, känslighet och volym (antal)
Vad är det för slags uppgifter, vad kan hända om de kommer i fel händer?
Kan uppgifterna kombineras på ett sätt som ökar risken för negativa konsekvenser? T.ex. identitetsuppgifter + finansiella uppgifter.
Identifierbarhet
Hur enkelt är det att identifiera en person utifrån uppgifterna vid incidenten? Hur pass enkelt det är beror exempelvis på om uppgifterna var psuedonymiserade eller krypterade och vilken typ av personuppgift det gällde.
Konsekvensernas svårighetsgrad för enskilda personer
Konsekvenserna av en personuppgiftsincident kan anses vara särskilt allvarliga om incidenten riskerar att leda till exempelvis identitetsstöld, bedrägeri eller skadat anseende. Misstänker ni att personuppgifter har hamnat hos personer vars avsikter möjligtvis kan vara skadliga medför det en högre risk för negativa konsekvenser av ett obehörigt röjande. Om uppgifterna har råkat skickas till en mottagare som anses vara betrodd (t.ex. någon inom organisationen som har tystnadsplikt) minskar risken för negativa konsekvenser för den registrerade betydligt.
Den enskildas speciella egenskaper
Ta hänsyn till vilka de registrerade är och om det finns egenskaper hos dem som kan göra att en incident får mer allvarliga effekter. En personuppgiftsincident kan få allvarligare konsekvenser om den drabbar särskilt skyddsvärda personer, t.ex. barn eller andra personer i en mer sårbar ställning, men även andra faktorer hos den registrerade kan beaktas.
Den personuppgiftsansvariges speciella egenskaper
Ta hänsyn till vilken typ av verksamhet som personuppgiftsincidenten inträffat i.
Antal personer som påverkas
Ofta får en personuppgiftsincident större negativ effekt ju fler individer som påverkas. Men, stirra er inte blinda på antalet utan en incident kan få svåra följder även om den bara drabbat en person. Ta hänsyn till effekternas sannolikhet och hur svårt de skulle drabba de berörda personerna.

3. Beslut gällande resultatet av den första riskbedömningen

Efter att ni har sett händelsen till sin kontext och beaktat de omständigheter som listats ovan gäller det att komma till en slutsats avseende risken för de registrerades fri- och rättigheter.

Om det är osannolikt att den registrerade kan utsättas för risk avseende dennes fri- och rättigheter behöver ni inte göra en anmälan till tillsynsmyndigheten, däremot behöver incidenten ändå dokumenteras (se punkt 5 nedan).

Om det inte är osannolikt att den registrerade kan utsättas för risk avseende dennes fri- och rättigheter ska en anmälan göras till tillsynsmyndigheten IMY på deras hemsida. à Anmäl personuppgiftsincident | IMY

Beslutet måste tas inom 72 timmar från att händelsen upptäcktes eftersom det är tidskravet på anmälan till IMY om man landar i att händelsen är anmälningspliktig. Om man inte hinner få ihop all information som behöver nedtecknas i IMY:s webbformulär kan man göra en anmälan för att sedan komplettera med mer information senare. Det är alltså viktigare att vara snabb än att vänta på att göra en helt fullständigt korrekt anmälan. Om man anmäler efter 72 timmar behöver man till och med ange ett legitimt skäl till förseningen.

4. Den andra riskbedömningen

Om resultatet av den första riskbedömningen landade i att det inte är osannolikt att den registrerade kunde utsättas för risk avseende dennes fri- och rättigheter och att en IMY-anmälan därför ska göras, gäller det att även bedöma huruvida risken för den registrerades fri- och rättigheter kan anses hög eller inte hög. Om risken är hög ska den registrerade kontaktas och informeras om incidenten. Syftet med att informera den registrerade är att ge denne möjlighet att vidta egna åtgärder för att skydda sig mot negativa konsekvenser eller skador som kan inträffa på grund av händelsen. Tidskravet på att informera de registrerade är att det ska ske ”utan onödigt dröjsmål”, vilket betyder att det ska ske så snabbt som möjligt.

I listan nedan finns faktorer som ensamma eller tillsammans med andra kan innebära att det föreligger en risk för registrerades rättigheter och friheter som anses hög.

Känsliga personuppgifter är inblandade
Personuppgifter har röjts till ett mycket stort antal personer
Uppgifterna var inte krypterade
Händelsen kan leda till ekonomisk förlust
Händelsen kan leda till identitetsstöld, bedrägeri eller annan immateriell skada
Händelsen kan leda till otillbörlig profilering av enskilda

Undantag: Även om det föreligger en hög risk för registrerades fri- och rättigheter behöver inte varje enskild person informeras om det rör sig om ett mycket stort antal personer eftersom det kan innebära en s.k. ”oproportionell ansträngning”. I sådant fall får man i stället informera allmänheten. Det kan innebära att skicka ut ett mail till samtliga kunder, medlemmar, eller motsvarande kategori av drabbade personer, alternativt publicera en text på hemsidan.

Vid en informationslämning till de registrerade ställer GDPR krav på vissa punkter som måste finnas med. Dessa är:

En beskrivning av incidenten
Namn och kontaktuppgifter till dataskyddsombudet
En beskrivning av de sannolika konsekvenserna av incidenten
En beskrivning av vad ni har gjort eller tänker göra för att hantera incidenten
En beskrivning av vad ni har gjort eller tänker göra för att mildra eventuella negativa effekter

5. Dokumentation

Oavsett vilken typ av incident – om den är anmälningspliktig till IMY eller ej – ska alla incidenter dokumenteras internt. Dokumentationen behöver innehålla följande delar:

En beskrivning av omständigheterna kring incidenten.
- Beskrivningen ska vara tillräckligt detaljerad för att någon annan inom organisationen, t.ex. ett dataskyddsombud, någon i ledningen eller en verksamhetschef, ska kunna förstå.
En beskrivning av effekterna av incidenten.
En beskrivning av de åtgärder som har vidtagits.
- Detta gäller såväl åtgärder som har vidtagits för att förhindra eller minska risken för skada av den drabbades fri- och rättigheter, som åtgärder som vidtagits för att förhindra att en liknande situation skulle uppstå igen, såsom samtal med en medarbetare eller nya organisatoriska rutiner.

Dokumentationen kan göras på vilket som helst, till exempel sparas i en pärm eller i ett särskilt IT-system. Viktigt att tänka på är att inte ange några personuppgifter i dokumentationen, exempelvis gällande vilken registrerad som drabbats eller vilken anställd som gjort fel, eftersom det i sig är en onödig personuppgiftsbehandling.

Syftet med att dokumentera incidenter är att tillsynsmyndigheten IMY ska kunna kontrollera om ni följer GDPR:s regler för hantering av personuppgiftsincidenter. Ni ska därför kunna motivera era ställningstaganden. Dokumentationen är även viktigt för att ni för egen del ska kunna se mönster och proaktivt kunna motverka att samma typ av personuppgiftsincident inträffar igen.

Vad gör jag efter att en personuppgiftsincident har hanterats?

Syftet med att dokumentera personuppgiftsincidenter är enligt GDPR att möjliggöra för tillsynsmyndigheten att kontrollera att ett företag eller en myndighet kan hantera personuppgiftsincidenter korrekt och effektivt. Gör man inte det riskerar man att få en dyr sanktionsavgift. Men, det är enligt min mening viktigt att man ser dokumentationen av personuppgiftsincidenter som en viktig del i företagets/myndighetens kvalitetsarbete. Incidentdokumentationen kan och bör användas för att exempelvis identifiera systematiska brister i det organisatoriska arbetet eller tekniska IT-säkerhetsbrister. När bristerna har identifierats kan de oftast lösas med relativt små medel, men om man inte dokumenterar och följer upp avvikelser är det svårare att upptäcka bristerna. Till slut kanske något riktigt allvarligt händer.

Nedan är exempel på frågor som ni kan ställa till er själva för att upptäcka brister utifrån incidentdokumentationen:

Är de tekniska och organisatoriska säkerhetsåtgärderna tillräckliga?
Har de anställda tillräcklig utbildning?
Om incidenten skett hos en leverantör, vågar ni fortsättningsvis lita på leverantören?
Bör behörighetsstyrningen ändras? Ska åtkomsten för vissa anställda återkallas?

Slutligen, ingen kan göra allt rätt. Vi är inte mer än människor och människor gör misstag, vare sig det handlar om den s.k. ”mänskliga faktorn” eller att vi litat på att en viss leverantör verkligen kan garantera den säkerhet som utlovats. Det vi kan göra är att följa upp dataskyddsarbetet och lära oss av våra misstag. Kom ihåg att alla inom organisationen behövs för att kunna hantera och följa upp personuppgiftsincidenter – ofta är det ”på golvet” som incidenter sker och där har organisationsledningen ett viktigt ansvar att ge anställda tydlig vägledning, sätta upp enkla rutiner och ge relevant utbildning för att anställda lätt ska kunna göra rätt.

Om
Senaste inläggen

Emma Härdling

Jurist inom dataskydd på Secify

Mänskliga rättigheter har sedan länge varit ett specialintresse för mig och det var just det, samt intresset för teknik, som ledde mig till den roll jag har idag.

Jag erhöll en juristexamen vid Uppsala universitet efter att ha skrivit min examensuppsats om GDPR kopplat till användning av uppkopplade produkter (IoT) med människan i fokus. Som dataskyddsombud och dataskyddsrådgivare på Secify får jag möjligheten att kombinera intressena om skydd för mänskliga rättigheter med teknikintresset och får göra det i en kommersiell kontext.

Jag tycker att det är otroligt roligt att projektleda mina kunder mot förändrade arbetssätt som leder till högre datasäkerhet. Min målsättning är alltid att min kund, och alla dess anställda, ska känna att det är lätt att göra rätt. Samt, att få arbeta med kunder inom vitt skilda affärsområden och av stor variation i storlek, med olika typer av utmaningar, gör att jag hela tiden får utvecklas som rådgivare.

Senaste inläggen av Emma Härdling

AI-innovation inom sjukvården - 19 april, 2024
Checklista för hantering av incidenter kopplat till personuppgifter - 20 juli, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.