Göm menyn

Personuppgiftsincident

Den som upptäcker en personuppgiftsincident som har inträffat vid LiU ska omgående anmäla det till personuppgiftsincident@liu.se enligt nedanstående rutin.

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som kan innebära att en registrerad förlorar kontrollen över sina uppgifter eller att dennes rättigheter inskränks. Exempel på skador som kan uppkomma vid personuppgiftsincidenter är brott mot sekretess eller tystnadsplikt, identitetsstöld, bedrägeri, skadlig ryktesspridning eller finansiell förlust.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Det kan också vara när

  • någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna,
  • datorer som innehåller personuppgifter har förlorats eller stulits,
  • någon har ändrat personuppgifter utan tillstånd eller
  • när personuppgifterna inte är tillgängliga för den som behöver dem och det leder till negativa effekter för de registrerade personerna.

Oavsett om det inträffade har skett med avsikt eller genom olyckshändelse anses en personuppgiftsincident ha ägt rum.

 

Är LiU personuppgiftsansvarig?

Det är den organisation som är personuppgiftsansvarig som måste se till att personuppgiftsincidenter dokumenteras och, om det bedöms nödvändigt, rapporteras till Datainspektionen. Det innebär att det som ett första steg behöver bedömas om LiU är personuppgiftsansvarig för personuppgifterna som incidenten avser. Om LiU behandlar personuppgifter på uppdrag och enligt instruktioner från en extern part är LiU att betrakta som personuppgiftsbiträde. I dessa fall ska den externa parten omgående underrättas om incidenten.

När LiU behandlar personuppgifter å någon extern parts vägnar ska det alltid tecknas ett biträdesavtal. Av biträdesavtalet framgår instruktioner för och vilka krav den externa parten (personuppgiftsansvarig) ställer på LiUs rapportering av personuppgiftsincidenter. Kontakta verksamhetsstödet på din institution vid behov av hjälp att hitta biträdesavtalet.

 

Anmälan av personuppgiftsincident

Alla personuppgiftsincidenter anmäls genom att skicka ifyllt formulär (se instruktioner nedan) till personuppgiftsincident@liu.se. Observera att personuppgiftsincidenter aldrig ska anmälas direkt till Datainspektionen utan enbart till personuppgiftsincident@liu.se. Anmälan till Datainspektionen görs av särskilt utbildade handläggare.

Formulär för anmälan av personuppgiftsincident

Dataskyddsförordningen ställer krav på att vissa personuppgiftsincidenter ska rapporteras till tillsynsmyndigheten inom 72 timmar efter det att incidenten har upptäckts.

Den som upptäcker att en personuppgiftsincident har skett ska omgående anmäla detta till personuppgiftsincident@liu.se enligt ovanstående rutin. Adressen bevakas av särskilt utbildade handläggare som bedömer om incidenten ska rapporteras vidare till tillsynsmyndigheten (Datainspektionen) samt avgör om ytterligare åtgärder behöver vidtas för att minimera skadan av incidenten.

LiU ska även rapportera personuppgiftsincidenter som inträffar hos våra personuppgiftsbiträden.

 

Så här fyller du som anställd i formuläret

Följ punkterna nedan när du fyller i formuläret. Hoppa över frågor som du inte vet hur du ska besvara och kommentera istället frågan i e-postmeddelandet när du skickar formuläret till personuppgiftsincident@liu.se

  1. Utelämna fältet om detta avser en ny anmälan.
  2. Fylls normalt inte i.
  3. Fylls inte i. Denna bedömning görs senare av särskilt utbildade handläggare.
  4. Fyll i relevant alternativ (när incidenten äger rum inom ramen för verksamhet i flera länder inom EU eller när incidenten i väsentlig grad påverkar registrerade i mer än en medlemsstat, exempelvis vid gränsöverskridande forskningsprojekt).
  5. Behåll förifyllda uppgifter.
  6. Behåll förifyllda uppgifter.
  7. Behåll förifyllda uppgifter.
  8. Ange ditt namn (dina kontaktuppgifter används för intern kommunikation och dokumentation).
  9. Behåll förifyllda uppgifter.
  10. Ange din e-postadress (arbete).
  11. Ange din postadress (arbete).
  12. Ange ditt telefonnummer (arbete).
  13. Besvaras. Var så noggrann som du kan vara.
  14. Besvaras. Var så noggrann som du kan vara.
  15. Besvaras om tillämpligt.
  16. Besvaras.
  17. Besvaras.
  18. Besvaras. Om du själv har upptäckt incidenten välj ”en anställd informerade oss”.
  19. Besvaras.
  20. Besvaras.
  21. Besvaras. Ett personuppgiftsbiträde är en extern organisation som behandlar personuppgifter för universitets räkning (till exempel molntjänst).
  22. Besvaras om svaret på fråga 21 var ”ja”.
  23. Besvaras. OK att göra en grov bedömning.
  24. Besvaras. OK att göra en grov bedömning. Med ”uppgifter” menas det totala antalet personuppgiftsposter såsom namn, personnummer, telefonnummer, LiU ID med flera. Exempel: om namn och personnummer för 100 registrerade har spridits felaktigt är det totalt 200 uppgifter.
  25. Besvaras.
  26. Besvaras.
  27. Besvaras om möjligt.
  28. Besvaras, vid röjning av information är normalt sett alltid ”Den registrerade förlorar kontrollen över de egna personuppgifterna” en konsekvens. Beroende på vilka uppgifter som röjts kan andra alternativ också vara aktuella.
  29. Fylls inte i. Denna bedömning görs senare av särskilt utbildade handläggare.
  30. Besvaras.
  31. Besvaras. Vanligtvis bör ni samråda med personuppgiftsincident@liu.se innan registrerade informeras.
  32. Besvaras om tillämpligt.
  33. Besvaras om tillämpligt. Vanligtvis bör ni samråda med personuppgiftsincident@liu.se innan registrerade informeras.
  34. Besvaras om tillämpligt.
  35. Besvaras om tillämpligt. Vanligtvis bör ni samråda med personuppgiftsincident@liu.se innan registrerade informeras.
  36. Besvaras.
  37. Besvaras.

 


Sidansvarig: elisabet.wahrby@liu.se
Senast uppdaterad: 2019-06-24