Vad behöver organisationen ha koll på kring personuppgiftsincidenter?

Text: Niclas Nordström, Dataskyddsspecialist, Qnister

När en personuppgiftsincident är ett faktum behöver organisationen ta hand om incidenten på ett sätt som uppfyller kraven i GDPR. Men kommer verkligen alla verksamheter att uppleva en personuppgiftsincident? 

Eftersom alla verksamheter mer eller mindre sköts av människor så är övertygelsen att alla verksamheter någon gång också kommer att drabbas av incidenter. Vissa kommer vara en konsekvens av bristfälliga rutiner medan andra kommer att bero på den mänskliga faktorn. 

Utbildning är A och O 

För att kunna upptäcka och fånga upp en personuppgiftsincident behöver anställda ha fått utbildning om grundläggande delar i GDPR. Om de anställda inte har fått den kunskapen är det omöjligt för dem att själva kunna upptäcka och identifiera en incident. 

Vad ska anställda flagga för?

En personuppgiftsincident skulle exempelvis kunna vara att någon tappar bort eller förlägger ett papper eller en dator som innehåller personuppgifter. Ytterligare exempel kan vara om ni får skadlig kod i era datorer eller system, inbrott och generellt när personuppgifter kommer i orätta händer. Alla personuppgiftsincidenter ska loggas, och vissa ska även anmälas till Datainspektionen.

Att rapportera en personuppgiftsincident

Om tillsynsmyndigheten får kännedom om en incident och det visar sig att man inte har hanterat incidenten på rätt sätt kan det innebära att den personuppgiftsansvariga får betala en administrativ avgift. Det finns gott om incitament för den personuppgiftsansvarige att vilja sköta detta på ett så bra sätt som möjligt. 

Det viktiga är inte vem som gjorde felet utan varför felet uppkom. Inom hälso- och sjukvården arbetar man systematiskt med avvikelsehantering. Det innebär att verksamheten vill upptäcka om något blir fel för att kunna lära och bli bättre. På samma sätt ska man ta sig an personuppgiftsincidenter. Vet era anställda att de ska flagga för eventuella personuppgiftsincidenter? 

Så, vad behöver vi klargöra? 

Det vi vill poängtera är att det inte räcker att ansvariga och chefer har koll på vad som ska göras. Ofta hanteras personuppgifter i alla verksamheter inom organisationen hos den personuppgiftsansvarige vilket gör det viktigt att alla känner till rutinerna. Det är också ute på arbetsplatserna som anställda kan hitta egna sätt att minimera riskerna om man skulle tappa bort uppgifter eller om de skulle komma i orätta händer. 

Ta fram styrdokument som talar om vad som ska göras och vem som ska göra det. Bland annat följande moment bör klargöras i dessa dokument: 

• Hur säkerställs att anställda vet vad en personuppgiftsincident är?

• Vilka ska informera verksamheten att en personuppgiftsincident har inträffat?

• Till vem ska anställda meddela att en personuppgiftsincident har inträffat?

• Vem ska ta hand om personuppgiftsincidenten? 

• Vem ska dokumentera personuppgiftsincidenten? 

• Vem ska ta ställning till om incidenten ska anmälas till Datainspektionen?

• Vem ska informera registrerade och bedöma om det behövs? 

Dela i sociala medier

Dela på facebook
Dela på twitter
Dela på linkedin
Scroll to Top