Personuppgiftsincident

 

• Någon raderar oavsiktligt eller olagligt ett register med personuppgifter
• En ”ransomware”-attack har medfört att personuppgifter har krypterats så att de inte längre går att läsa

• Någon tappar ett USB-minne med personuppgifter på bussen.
• Någon skickar extern e-post med personuppgifter till fel mottagare.
• Någon sparar ett dokument med personuppgifter i fel mapp på G så att obehöriga kan läsa handlingarna.
• Ett strömavbrott orsakar driftstopp i ett IT-stöd innehållande. personuppgifter och det leder till negativa effekter för de personer som är registrerade.

 

• Någon loggar obehörigen in i ett IT-stöd och ändrar medicinering för en patient inom hemvården.
• Någon ändrar omedvetet lönen för flera av stadens medarbetare.

 

• En lärare skickar e-post till fel vårdnadshavare och e-posten innehåller personuppgifter.
• En lista med medarbetare som är sjukskrivna publiceras på den externa webben.
• En medarbetare lägger ut namn och personnummer på en patient på Facebook.

 

• Någon stjäl en medarbetares inloggningsuppgifter, exempelvis genom en phishing-attack, och får på så sätt obehörigen tillgång till personuppgifter.
• Staden utsätts för ett antagonistiskt angrepp genom exempelvis hacking eller malware.
• Någon obehörig bereder sig tillgång till ett låst arkivskåp med handlingar innehållande personuppgifter.
• Behörigheter i ett IT-system tilldelas felaktigt eller för generellt vilket gör att obehöriga personer i verksamheten får tillgång till personuppgifter
• Det upptäcks att personuppgifter har funnits tillgängliga på en gemensam lagringsyta utan behörighetsstyrning.

Anmälan till Integritetsskyddsmyndigheten ska göras inom 72 timmar från den tidpunkt då någon i staden fick kännedom om incidenten. Det är därför viktigt att du som medarbetare agerar snabbt när du misstänker att en personuppgiftsincident har inträffat i den verksamhet där du arbetar.

Om du misstänker att en personuppgiftsincident har skett så ska du agera utifrån den specifika rutin för incidentrapportering som gäller i din förvaltning. Om du inte vet vem du ska kontakta enligt denna rutin kan du eller din chef alltid ta kontakt med nämndens samordnare av personuppgiftsfrågor, se kontaktuppgifter här. Om du/ni inte lyckats få kontakt med samordnaren inom 24 timmar ta istället kontakt med någon på stadsjuridiska enheten eller nämndens dataskyddsombud (maila till dataskyddsombud@helsingborg.se eller ring via Kontaktcenter: 042-10 50 00).

Den funktion du kontaktar enligt ovan hjälper till med att avgöra om incidenten är så pass allvarlig att den måste anmälas till Integritetsskyddsmyndigheten.

Du eller någon annan i din verksamhet som har fördjupad kunskap om vad som skett vid incidenten kan behöva hjälpa till att svara på frågor och/eller dokumentera incidenten internt i stadens e-tjänst.

 

Ansvarig nämnd och dess förvaltning ansvarar för att personuppgiftsincidenter som sker i sin verksamhet rapporteras till Integritetsskyddsmyndigheten.

Personuppgiftsincidenter som inträffar ska som huvudregel anmälas till Integritetsskyddsmyndigheten. En anmälan till Integritetsskyddsmyndigheten behöver dock inte göras när det är osannolikt att incidenten kommer innebära risker för de registrerade.

Anmälan till Integritetsskyddsmyndigheten ska göras inom 72 timmar från den tidpunkt då någon i staden fick kännedom om incidenten.

Faktorer av central betydelse för bedömning av personuppgiftsincidentens allvarlighet är bland annat:

• vilken typ av personuppgifter det gäller,
• hur många personuppgifter som det gäller,
• vilka personkategorier som berörs,
• hur många registrerade som berörs,
• hur sannolikt det är att personuppgifterna kommit till obehörigas kännedom, och
• vad som kan bli effekten av incidenten för de registrerade.

En personuppgiftsincident som rör behandling av personuppgifter som klassas som känsliga är i sin natur mer allvarlig än en behandling av personuppgifter där exempelvis bara namn framkommer. Känsliga personuppgifter är ras eller etniskt ursprung, medlemskap i fackförening, sexualliv, hälsa, politiska åsikter, sexuell läggning, religiös/filosofisk övertygelse, biometriska uppgifter och genetiska uppgifter.

Ju högre sannolikheten är för att personuppgifterna kommit till obehörigas kännedom desto allvarligare är personuppgiftsincidenten.

Risker för fysiska personers rättigheter och friheter kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel på detta är diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning, finansiell förlust, brott mot sekretess eller tystnadsplikt.

Vid osäkerhet av om en incident ska anmälas, kan verksamheten samråda med stadsjuridiska enheten eller nämndens dataskyddsombud.

Verksamheten och stadsjuridiska enheten eller dataskyddsombudet tar gemensamt ställning till om incidenten ska anmälas till Integritetsskyddsmyndigheten.

Anmälan till Integritetsskyddsmyndigheten görs här.

 

Ansvarig nämnd och dess förvaltning ansvarar för att personuppgiftsincidenter som sker i sin verksamhet rapporteras internt i stadens e-tjänst.

Det är upp till varje nämnd och dess förvaltning att bestämma vem/vilka som ska rapportera internt i e-tjänsten.

Den rapport som genereras i e-tjänsten skickas till förvaltningens registrator, som skickar rapporten vidare till den person som har utsetts som mottagare för rapporten på förvaltningen (oftast samordnaren av personuppgiftsfrågor).

Den rapport som genereras i stadens e-tjänst kan användas som ett underlag inför en eventuell anmälan till Integritetsskyddsmyndigheten.

Om en personuppgiftsincident medför en hög risk för de registrerade, t.ex. om det finns risk för id-stöld eller bedrägeri, behöver verksamheten informera de enskilda som berörs av incidenten.

Informationen ska meddelas till den registrerade utan onödigt dröjsmål. Undantag från informationsskyldigheten föreligger om:

• Tekniska eller organisatoriska skyddsåtgärder har tillämpats på de berörda personuppgifterna (exempelvis om de förlorade personuppgifterna är krypterade).
• Ytterligare åtgärder är vidtagna som garanterar att den höga risken för att registrerades rättigheter och friheter kränks sannolikt inte längre kommer att förverkligas.
• Det skulle innebära oproportionerlig ansträngning att rapportera till alla de registrerade, men då måste istället allmänheten informeras eller annan liknande åtgärd vidtas så att de registrerade ändå får tillgång till informationen.

Om det bedöms att den personuppgiftsansvarige måste lämna information om personuppgiftsincidenten till den registrerade ska följande information lämnas enligt dataskyddsförordningen.

• En beskrivning av omständigheterna kring personuppgiftsincidenten.
• Förmedling av namn och kontaktuppgifter till Dataskyddsombudet eller namn på annan kontaktperson/er som kan lämna ytterligare relevant information.
• En beskrivning av sannolika konsekvenser av personuppgiftsincidenten.
• En beskrivning av de åtgärder som vidtagits av personuppgiftsansvarig för att hantera personuppgiftsincidenten samt vidtagna åtgärder för att mildra möjliga negativa effekter till följd av personuppgiftsincidenten.

Samråd kan vid behov ske med stadsjuridiska enheten eller nämndens dataskyddsombud.

För det fall nämnden behandlar personuppgifter på uppdrag av någon annan extern part (dvs. är personuppgiftsbiträde) är nämnden skyldig att informera den externa parten om alla personuppgiftsincidenter som sker i nämndens verksamhet och som påverkar de personuppgifter som nämnden behandlar för den personuppgiftsansvariges räkning.

Den personuppgiftsansvarige ska i dessa fall informeras utan onödigt dröjsmål efter att någon i nämndens organisation har fått vetskap om incidenten.