Incidenthantering

I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten (Datainspektionen) inom 72 timmar.

För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Typ av incident

Om en programrelaterad incident inträffar kan det innebära att det blir en personuppgiftsincident.

Ett problem i våra tjänster som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident.

Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Så jobbar vi med en incident

De personer som krävs för att hantera en incident kommer bli inblandad. Vi börjar med att identifiera incidenten, göra analys, lämnar förslag på åtgärd och därefter kommunicerar vi den till berörda parter i den mån det går och är rimligt.

Vi identifierar vilken typ av incident det är frågan om och gör en analys över omfattningen vilka användare som påverkas och vad konsekvenserna blir.

Därefter bedömer och prioriterar problemet för att säkerhetsställa en åtgärdsplan och verkställa den.

Sen gör vi en återkoppling till berörda som drabbats och en rapport, där vi utgår ifrån Datainspektionens mall som beskriver vad vi ska ha med

  • Vilken typ av incident det är fråga om
  • Vilka kategorier av personer som kan komma att beröras
  • Hur många personer det berör
  • Vilka konsekvenser incidenten kan få
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.