Ska incidenten rapporteras till Integritetsskyddsmyndighet?

Underlag för att avgöra om personuppgiftsincident är så pass allvarlig att den ska rapporteras till integritetsskyddsmyndighet.

Personuppgiftsincident

I Dataskyddsförordningen artikel 4, punkt 12, ges definitionen på personuppgiftsincident:

”personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”

En personuppgiftsincident som sannolikt medfört en risk för de registrerades fri- och rättigheter är allvarlig och ska anmälas till integritetsskyddsmyndighet. Att riskera de registrerades fri- och rättigheter kan till exempel vara att de förlorar kontrollen över sina uppgifter, att rättigheter inskränks, att de utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning och brott mot sekretess eller tystnadsplikt.

Allvarlighetsgrad

Hur allvarlig en personuppgiftsincident är och hur den bör hanteras kan bedömas utifrån en sammanvägning av följande:

  • Konsekvensen: Om incidenten medför risker för de registrerades fri- och rättigheter (se ovan) så är den allvarlig.
  • Vilken sorts personuppgifter incidenten rör. Om incidenten rör sekretessreglerade eller känsliga uppgifter ökar graden av allvarlighet. Så även om incidenten rör extra skyddsvärda uppgifter som personnummer, andra skyddsvärda uppgifter eller andra direkt utpekande uppgifter.
  • Hur många personuppgifter incidenten rör. Ju fler personuppgifter, desto mer utpekande blir kombinationen dem emellan, och då ökar allvarlighetsgraden.
  • Kryptering: Om incidenten helt eller delvis rör krypterade uppgifter minskar graden av allvarlighet.
  • De registrerades antal. Ju fler drabbade, desto allvarliga är incidenten.
  • Spridningen av de berörda personuppgifterna. Ju fler obehöriga som fått potentiell eller faktisk tillgång till uppgifterna, desto allvarligare.
  • Incidentens orsak, avsiktlighet och risk för återupprepning: (mänskliga faktorn, fel i det enskilda fallet; brist i organisatoriska rutiner eller processer, systematiska fel; tekniskt fel, till exempel fel i mjukvara, programinställningar; medvetet angrepp från någon i organisationen; antagonistiskt angrepp, angrepp utifrån; okänd orsak.) Ju större risk att incidenten sker igen, desto större anledning att betrakta incidenten som allvarlig.