2018 trädde EU:s nya dataskyddsförodrning (GDPR) i kraft. Om du använder ett program som TOPdesk, registrerar och lagrar du olika personuppgifter vilket gör dessa regler relevanta för er organisation. Nedan information om incidenthantering och GDPR ger dig insikt i vilka skyldigheter du har gällande hanteringen av personuppgifter i TOPdesk.
Här är en snabb genomgång över vilka skyldigheter er organisation och TOPdesk har gällande incidentrapportering enligt GDPR (från TOPdesks webbplats).
Vad | Er organisation | TOPdesk | |
1 | Beskriva vilken data som är registrerad och vad den används för. Begränsad registrerad data till de detaljer som är nödvändiga och i linje med det beskrivna syftet. | X | |
2 | Vid behov, begära och registrera samtycke från person att få registrera deras data. | X | |
3 | Bestämma vem som ska ha tillgång till informationen och möjlighet att ändra den. Bistå med information hur de ska hantera data. | X | |
4 | Välj vilka verktyg och leverantörer som ska användas i registreringsprocessen. Säkerställ att deras tjänster är i linje med era skyldigheter. | X | |
5 | Säkerställ att GDPR-avtal är etablerade med leverantörer involverade i datakedjan. | X | |
6 | Ha en process på plats för att hantera förfrågningar baserat på rätten att recensera, rätta och/eller radera data från registrerade personer. | X | |
7 | Rapportera dataläckor till myndigheter och “personer” involverade. | X | |
8 | Ha en plan för GDPR incidenthantering på plats, inklusive processer för att kontinuerligt informera kontrollanten. | X | |
9 | Rapportera dataläckor till kontrollanter. | X | |
10 | Utföra regelbundna säkerhetstester och revisioner för att säkerställa efterlevnad. | X (SAAS) |
Enligt dataskyddsförordningen har er organisation en skyldighet att anmäla vissa typer av personuppgiftsincidenter till (Integritetsskyddsmyndigheten). (IMY), tidigare Datainspektionen. Nedan går vi igenom allt ni behöver veta gällande incidenthantering och GDPR ─ vad en personuppgiftsincident är, vad för personuppgiftsincidenter som måste anmälas och när ni ska anmäla en personuppgiftsincident.
När en personuppgiftsincident inträffat måste ni först fastställa sannolikheten och allvaret, samt risken det innebär för människor rättigheter och friheter. Anser ni det troligt att personuppgiftsincidenten medför en risk för de registrerade måste ni anmäla det till IMY. Anmälan måste göras inom 72 timmar efter att incidenten upptäckts.
Är det osannolikt att personuppgiftsincidenten medför risker behöver ni inte meddelade IMY. Även om ni bestämmer er för att inte anmäla måste ni fortfarande kunna motivera varför och dokumentera beslutet.
Notera att all information i er incidentrapport (GDPR) blir allmän handling. Det innebär att IMY kan komma att behöva lämna ut information om någon begär det, och att det inte finns någon bestämmelse gällande sekretess som kan förhindra det. Det är IMY själv som avgör vad som ska lämnas ut.
De rekommenderar att inte lämna ut fler uppgifter än nödvändigt för att undvika potentiella sekretessproblem. Lämnar ni en uppgift som behöver omfattas av sekretess kan detta skrivas i fritextfältet för anmälningsformuläret för er incidentrapport (GDPR)
… så ska även de registrerade informeras om er incidentrapportering (GDPR). Det är alltså vid tillfällen då det är hög sannolikhet att incidenten leder att de fysiska personernas rättigheter och friheter utsätts för hög risk. Exempel på allvarliga personuppgiftsincidenter inkluderar bedrägerier och ID-stölder.
Även om personuppgiftsansvarige har det huvudsakliga ansvaret så ska även personuppgiftsbiträdet rapportera till den ansvariga i de fall biträdet upptäcker en personuppgiftsincident.
Din helhetspartner inom Service Management systemlösningar
Vi finns med dig hela vägen från implementation, support till förvaltning. Våra mjukvaror hjälper er på ett smart och enkelt sätt att bli mer effektiva i verksamhetens processer, skapa automatiserade arbetsflöden och leverera bättre kundupplevelsen.