Incidenthantering ─ GDPR (Personuppgiftsincident)

2018 trädde EU:s nya dataskyddsförodrning (GDPR) i kraft. Om du använder ett program som TOPdesk, registrerar och lagrar du olika personuppgifter vilket gör dessa regler relevanta för er organisation. Nedan information om incidenthantering och GDPR ger dig insikt i vilka skyldigheter du har gällande hanteringen av personuppgifter i TOPdesk.

Skyldigheter i TOPdesk

Här är en snabb genomgång över vilka skyldigheter er organisation och TOPdesk har gällande incidentrapportering enligt GDPR.

Vad		Er organisation	TOPdesk
1	Beskriva vilken data som är registrerad och vad den används för. Begränsad registrerad data till de detaljer som är nödvändiga och i linje med det beskrivna syftet.	X
2	Vid behov, begära och registrera samtycke från person att få registrera deras data.	X
3	Bestämma vem som ska ha tillgång till informationen och möjlighet att ändra den. Bistå med information hur de ska hantera data.	X
4	Välj vilka verktyg och leverantörer som ska användas i registreringsprocessen. Säkerställ att deras tjänster är i linje med era skyldigheter.	X
5	Säkerställ att GDPR-avtal är etablerade med leverantörer involverade i datakedjan.	X
6	Ha en process på plats för att hantera förfrågningar baserat på rätten att recensera, rätta och/eller radera data från registrerade personer.	X
7	Rapportera dataläckor till myndigheter och “personer” involverade.	X
8	Ha en plan för GDPR incidenthantering på plats, inklusive processer för att kontinuerligt informera kontrollanten.	X
9	Rapportera dataläckor till kontrollanter.		X
10	Utföra regelbundna säkerhetstester och revisioner för att säkerställa efterlevnad.		X (SAAS)

Vad är en personuppgiftsincident?

En personuppgiftsincident är en händelse som på ett eller annat vis påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat då personuppgifter har:

Förstörts, antingen oavsiktligt eller olagligt
Ändrats eller gått förlorade
Lämnats ut till någon obehörig

Det spelar ingen roll om incidenten skett oavsiktligt eller med avsikt, i båda fallen är det en personuppgiftsincident.

Exempel på personuppgiftsincidenter

Någon har skickat personuppgifter till en obehörig mottagare som inte skulle ha haft åtkomst till uppgifterna.
En dator eller ett system som innehåller personuppgifter har förlorats, stulits eller gjorts intrång i.
Någon har ändrat personuppgifter utan tillstånd.
Personuppgifterna är inte tillgängliga för den som behöver dem.

Då måste du anmäla en personuppgiftsincident

När en personuppgiftsincident inträffat måste du först fastställa sannolikheten och allvaret, samt risken det innebär för människor rättigheter och friheter. Anser du det troligt att personuppgiftsincidenten medför en risk för de registrerade måste ni anmäla det till IMY. Anmälan måste göras inom 72 timmar efter att incidenten upptäckts.

Är det osannolikt att personuppgiftsincidenten medför risker behöver du inte meddelade IMY. Även om du bestämmer dig för att inte anmäla måste du fortfarande kunna motivera varför och dokumentera beslutet.

Annat bra att veta om incidentrapportering (GDPR)

All information i en incidentrapportering (GDPR) blir allmän handling. Notera att all information i din incidentrapport (GDPR) blir allmän handling. Det innebär att IMY kan komma att behöva lämna ut information om någon begär det. Och att det inte finns någon bestämmelse gällande sekretess som kan förhindra det. Det är IMY själv som avgör vad som ska lämnas ut. De rekommenderar att inte lämna ut fler uppgifter än nödvändigt för att undvika potentiella sekretessproblem. Lämnar du en uppgift som behöver omfattas av sekretess kan detta skrivas i fritextfältet för anmälningsformuläret för din incidentrapport (GDPR).
Vid en allvarlig personuppgiftsincident så ska även de registrerade informeras om din incidentrapportering (GDPR). Det är alltså vid tillfällen då det är hög sannolikhet att incidenten leder att de fysiska personernas rättigheter och friheter utsätts för hög risk.
Exempel på allvarliga personuppgiftsincidenter inkluderar bedrägerier och ID-stölder. Även om personuppgiftsansvarige har det huvudsakliga ansvaret så ska även personuppgiftsbiträdet rapportera till den ansvariga i de fall biträdet upptäcker en personuppgiftsincident.

Är din helpdesk redo?

Läs TOPdesks blogg och se till att din helpdesk uppfyller alla krav för incidenthantering gällande GDPR och ta del av 12 praktiska tips hur din organisation använder TOPdesk så att du uppfyller samtliga GDPR-regler.