Hantering av personuppgiftsincident

I dataskyddsförordningen definieras en personuppgiftsincident som "en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats".

En personuppgiftsincident är således alla situationer där personuppgifter riskerar att röjas. Det kan till exempel vara en borttappad telefon eller dator, en förlagd handling innehållande personuppgifter, ett felskickat mejl innehållande personuppgifter, användande av ett ickesäkert informationssystem eller någon obehörigt gjort intrång i våra lokaler eller i vårt datasystem.

Rutiner för anmälan av incident

  • Om en personuppgiftsincident inträffar ska den omedelbart anmälas till närmaste chef på Byggnads. Förtroendevalda såsom MB-ledamöter, skyddsombud, kontaktombud och lagbasar rapporterar direkt till sin kontaktperson på regionen samt till regionledningen.
  • Berörd chef/kontaktperson på Byggnads informerar sin ledning samt rapporterar utan dröjsmål till Förbundets kontaktperson via mejl samt genom sms eller telefonsamtal till Jonas Karlsson, tfn 070 - 388 10 58. E-post märks med subjektet "GDPR-incident".
  • Förbundets incidentgrupp (projektgruppen) tillsammans med förbundets Dataskyddsombud bedömer riskerna för personer som har drabbats av en personuppgiftsincident.
  • Vid allvarlig incident underrättas förbundets krisgrupp.
  • Incident anmäls i de fall så krävs av förbundets dataskyddsombud till den ansvariga tillsynsmyndigheten, det vill säga Datainspektionen.
  • Förbundet har 72 timmar på sig att utreda hur allvarlig incidenten är och om de ska anmälas till Datainspektionen. Anmälan bör inte innehålla personuppgifter.
  • Vi rapporterar då, även om vi inte har alla detaljer än.
  • Incidentgruppen har en särskild checklista för vilken information som Datainspektionen behöver få in när en personuppgiftsincident har inträffat.
  • När det är troligt att en personuppgiftsincident medför en hög risk för en persons rättigheter och friheter informeras denne enligt checklista.
  • Vi dokumenterar alla personuppgiftsincidenter, även de som inte behöver anmälas till Datainspektionen.

Vad är en personuppgift?

En personuppgift är all information som kan härledas till en person. Det kan röra sig om namn, adress, telefonnummer, en IP-adress som kan härledas till en person och personnummer. Även foton på personer klassas som personuppgifter. Till och med ljudinspelningar som lagras digitalt kan vara personuppgifter även om det inte nämns några namn i inspelningen. Ett bolagsnummer är inte en personuppgift men kan vara det om det handlar om ett enmansföretag.

Granskad: