Incidenthantering ─ GDPR (Personuppgiftsincident)

2018 trädde EU:s nya dataskyddsförodrning (GDPR) i kraft. Om ni använder ett program som TOPdesk registrerar och lagrar ni olika personuppgifter vilket gör dessa regler relevanta för er organisation. Nedan information om incidenthantering och GDPR ger er insikt i vilka skyldigheter ni har gällande hanteringen av personuppgifter i TOPdesk.

Upptäck kraften! Fyll i formuläret så kontaktar vi dig

Skyldigheter i TOPdesk

Här är en snabb genomgång över vilka skyldigheter er organisation och TOPdesk har gällande incidentrapportering enligt GDPR GDPR (från TOPdesks webbplats).

 
Vad Er organisation TOPdesk
1 Beskriva vilken data som är registrerad och vad den används för. Begränsad registrerad data till de detaljer som är nödvändiga och i linje med det beskrivna syftet. X
2 Vid behov, begära och registrera samtycke från person att få registrera deras data. X
3 Bestämma vem som ska ha tillgång till informationen och möjlighet att ändra den. Bistå med information hur de ska hantera data. X
4 Välj vilka verktyg och leverantörer som ska användas i registreringsprocessen. Säkerställ att deras tjänster är i linje med era skyldigheter. X
5 Säkerställ att GDPR-avtal är etablerade med leverantörer involverade i datakedjan. X
6 Ha en process på plats för att hantera förfrågningar baserat på rätten att recensera, rätta och/eller radera data från registrerade personer. X
7 Rapportera dataläckor till myndigheter och “personer” involverade. X
8 Ha en plan för GDPR incidenthantering på plats, inklusive processer för att kontinuerligt informera kontrollanten. X
9 Rapportera dataläckor till kontrollanter. X
10 Utföra regelbundna säkerhetstester och revisioner för att säkerställa efterlevnad. X (SAAS)

Era skyldigheter att rapportera personuppgiftsincidenter (Nr. 8)

Enligt dataskyddsförordningen har er organisation en skyldighet att anmäla vissa typer av personuppgiftsincidenter till (Integritetsskyddsmyndigheten). (IMY), tidigare Datainspektionen. Nedan går vi igenom allt ni behöver veta gällande incidenthantering och GDPR ─ vad en personuppgiftsincident är, vad för personuppgiftsincidenter som måste anmälas och när ni ska anmäla en personuppgiftsincident.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en händelse som på ett eller annat vis påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat då personuppgifter har:
  • Förstörts, antingen oavsiktligt eller olagligt
  • Ändrats eller gått förlorade
  • Lämnats ut till någon obehörig
Det spelar ingen roll om incidenten skett oavsiktligt eller med avsikt, i båda fallen är det en personuppgiftsincident.

Exempel på personuppgiftsincidenter

  • Någon har skickat personuppgifter till en obehörig mottagare som inte skulle ha haft åtkomst till uppgifterna.
  • En dator eller ett system som innehåller personuppgifter har förlorats, stulits eller gjorts intrång i.
  • Någon har ändrat personuppgifter utan tillstånd.
  • Personuppgifterna är inte tillgängliga för den som behöver dem.

Då måste ni anmäla en personuppgiftsincident

När en personuppgiftsincident inträffat måste ni först fastställa sannolikheten och allvaret, samt risken det innebär för människor rättigheter och friheter. Anser ni det troligt att personuppgiftsincidenten medför en risk för de registrerade måste ni anmäla det till IMY. Anmälan måste göras inom 72 timmar efter att incidenten upptäckts.

Är det osannolikt att personuppgiftsincidenten medför risker behöver ni inte meddelade IMY. Även om ni bestämmer er för att inte anmäla måste ni fortfarande kunna motivera varför och dokumentera beslutet.

incindenthantering

Annat bra att veta om incidentrapportering (GDPR)

All information i en incidentrapportering (GDPR) blir allmän handling

Notera att all information i er incidentrapport (GDPR) blir allmän handling. Det innebär att IMY kan komma att behöva lämna ut information om någon begär det, och att det inte finns någon bestämmelse gällande sekretess som kan förhindra det. Det är IMY själv som avgör vad som ska lämnas ut.

De rekommenderar att inte lämna ut fler uppgifter än nödvändigt för att undvika potentiella sekretessproblem. Lämnar ni en uppgift som behöver omfattas av sekretess kan detta skrivas i fritextfältet för anmälningsformuläret för er incidentrapport (GDPR)

Vid en allvarlig personuppgiftsincident…

… så ska även de registrerade informeras om er incidentrapportering (GDPR). Det är alltså vid tillfällen då det är hög sannolikhet att incidenten leder att de fysiska personernas rättigheter och friheter utsätts för hög risk. Exempel på allvarliga personuppgiftsincidenter inkluderar bedrägerier och ID-stölder.

Även om personuppgiftsansvarige har det huvudsakliga ansvaret så ska även personuppgiftsbiträdet rapportera till den ansvariga i de fall biträdet upptäcker en personuppgiftsincident.

Är er helpdesk redo?

Läs TOPdesks blogg och se till att er helpdesk uppfyller alla krav för incidenthantering gällande GDPR och ta del av 12 praktiska tips hur er organisation använder TOPdesk så att ni uppfyller samtliga GDPR-regler.
incindenthantering

Mer om incidenthantering

Incidenthantering

Lär er allt ni behöver om incidenthantering, vad en incident är, vad ITIL incident management är och dess fördelar samt bästa praxis.

Incidenthanteringsprocess

Se vilka skyldigheter ni har gällande hanteringen av personuppgifter i TOPdesk.

Vill du veta mer om våra lösningar?