Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident, om du misstänker att det har inträffat en incident eller om du ser en risk för att det kan inträffa en incident.
Definition av personuppgiftsincident
En personuppgiftsincident har uppstått när de personuppgifter vi behandlar:
- medvetet, omedvetet eller olagligt förstörs, förvanskas, förloras eller ändras
- när någon som inte har behörig tillgång till personuppgifterna får tillgång/åtkomst till dessa
- när personuppgifterna på ett obehörigt sätt röjs (obehörigt röjande)
Exempel på personuppgiftsincidenter
- Ett mejl med känsliga eller extra skyddsvärda personuppgifter skickas till fel mottagare.
- Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
- Uppgifter om en elev med skyddad identitet har felaktigt synktas vidare till andra verksamhetssystem
- En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.
Konsekvenser av en incident
En personuppgiftsincident kan leda till att en person förlorar kontrollen över sina uppgifter eller en individs rättigheter inskränks som i sin tur kan resultera i exempelvis diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt. Syftet med att rapportera och anmäla incidenter är att förhindra skada för den enskilda och förbättra skyddet för enskildas personuppgifter så att en incident inte upprepas.
När ska du rapportera en personuppgiftsincident ?
Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör)
- vet att det inträffat en incident
- misstänker att det har inträffat en incident
- ser en risk för att det kan inträffa en incident.
Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad.