Göm menyn

Personuppgiftsincident

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som kan innebära att en registrerad förlorar kontrollen över sina uppgifter eller att dennes rättigheter inskränks. Exempel på skador som kan uppkomma vid personuppgiftsincidenter är brott mot sekretess eller tystnadsplikt, identitetsstöld, bedrägeri, skadlig ryktesspridning eller finansiell förlust.
En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Det kan också vara när

  • någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna,
  • datorer som innehåller personuppgifter har förlorats eller stulits,
  • någon har ändrat personuppgifter utan tillstånd eller
  • när personuppgifterna inte är tillgängliga för den som behöver dem och det leder till negativa effekter för de registrerade personerna.

Oavsett om det inträffade har skett med avsikt eller genom olyckshändelse anses en personuppgiftsincident ha ägt rum.

Anmälan av personuppgiftsincident

Dataskyddsförordningen ställer krav på att vissa personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten. Detta ska då ske inom 72 timmar efter det att överträdelsen har upptäckts.

Den som upptäcker att en personuppgiftsincident har skett ska omgående anmäla detta till dataskyddsombudet. Dataskyddsombudet bedömer om incidenten ska rapporteras vidare till tillsynsmyndigheten samt avgör om ytterligare åtgärder behöver vidtas för att minimera skadan av incidenten. Det är dataskyddsombudet som ansvarar för den vidare hanteringen av anmälda incidenter vid LiU. 

Även personuppgiftsincidenter som inträffar hos ett personuppgiftsbiträde ska rapporteras till dataskyddsombudet.

När du anmäler en personuppgiftsincident till dataskyddsombudet ska följande information anges:

  1. Dina kontaktuppgifter
  2. Namn på personuppgiftsbiträden, underbiträden
  3. Om personuppgiftsincidenten har medfört en risk för de registrerades fri- och rättigheter
  4. När personuppgiftsincidenten inträffade
  5. När personuppgiftsincidenten upptäcktes
  6. Vad som har hänt vid personuppgiftsincidenten
  7. Hur personuppgiftsincidenten upptäcktes
  8. Varför personuppgiftsincidenten inträffade enligt din uppfattning
  9. Inom vilket verksamhetsområde personuppgiftsincidenten inträffade
  10. Hur många registrerade som har påverkats
  11. Hur många personuppgiftsposter som personuppgiftsincidenten har påverkat
  12. Vilka grupper de registrerade tillhör (studenter, anställda, forskningsdeltagare eller annat)
  13. Vilken sorts personuppgifter som berörs av personuppgiftsincidenten
  14. Om personuppgifterna var krypterade

 

Anmälan skickas omgående till dataskyddsombud@liu.se

 

 


Sidansvarig: elisabet.wahrby@liu.se
Senast uppdaterad: Fri Jan 11 11:44:11 CET 2019