Personuppgiftsincidenter
Dokumentation vid personuppgiftsincidenter
Företag måste upprätta viss dokumentation vid personuppgiftsincidenter. Dessutom ska företag i vissa fall anmäla det inträffade till den nationella dataskyddsmyndigheten. Även de registrerade ska bli informerade av företaget, i vissa fall.
Visa att företaget följer GDPR
Det är viktigt att tänka på att företag måste kunna visa att de följer GDPR. Om det sker en tillsyn hos företaget och dataskyddsmyndigheten begär att få se dokumentationen av en inträffad personuppgiftsincident, bryter företaget mot GDPR om företaget inte har den nödvändiga dokumentationen.
Upprätta dokumentation vid personuppgiftsincidenter i enlighet med GDPR
Det har ingen betydelse om företaget kommer fram till att de behöver informera de registrerade eller anmäla personuppgiftsincidenten till den nationella dataskyddsmyndigheten, när det kommer till kravet på att dokumentera incidenten. Alla företag måste dokumentera samtliga personuppgiftsincidenter, oavsett om incidenten är anmälningspliktig enlig GDPR eller inte. Det är bra att ha dokumentationen digitalt för att undvika försummelse, eftersom det strider mot GDPR att inte ha dokumentationen.
Förutse eventuella personuppgiftsincidenter
För att kunna agera så snabbt som möjligt vid en personuppgiftsincident, behöver företaget redan ha förutspått olika situationer där det kan inträffa personuppgiftsincidenter. På så sätt blir det enklare att förbereda hur man ska agera om det inträffar en sådan incident. Det är positivt om företaget förbereder sig mot olika typer av personuppgiftsincidenter och cyberattacker, genom att upprätta åtgärdsplaner och kontinuitetsplaner.
Bland annat detta ska framgå i dokumentationen:
Händelsen
Information om vad som har inträffat och hur det har skett. Informationen om händelsen bör noteras så detaljerat som möjligt.
Tidpunkter
Vilken tidpunkt personuppgiftsincidenten inträffade och när den personuppgiftsansvarige fick kännedom om den. Det kan nämligen vara så att incidenten inträffade för fem dagar sedan, men det är först idag företaget fick kännedom om det. Då ska företaget notera dessa två tidpunkter i dokumentationen.
Åtgärder
Vilka åtgärder som företaget har vidtagit för att minimera riskerna och konsekvenserna av personuppgiftsincidenten.
Anmälan av personuppgiftsincident till en dataskyddsmyndighet ska ske inom 72 timmar från och med att företaget upptäcker personuppgiftsincidenten. Om det är fråga om ett straffbart brott, såsom IT-kapning, bör företaget också kontakta Polisen för att polisanmäla brottet.
Företaget bör upprätta och implementera skriftliga interna rutiner
Det är bra för företag att ha skriftliga interna rutiner om hur medarbetare ska agera ifall det inträffar en personuppgiftsincident. Det är nämligen viktigt att agera så snabbt som möjligt, eftersom det kan få värre konsekvenser ju längre tiden går. Dessutom behöver företaget säkerställa att hålla sig till tidsramarna som är angivna i GDPR, om det rör sig om en anmälningspliktig personuppgiftsincident. Skriftliga interna rutiner för medarbetarna kan göra processen mer effektiv och minska risken för att medarbetarna gör något fel i processens gång.
Mer info om Personuppgiftsincidenter
Förebygga personuppgiftsincidenter
I GDPR är det väldigt tydligt att företag ska förebygga personuppgiftsincidenter genom att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Detta framgår i en av de sju (7) grundläggande dataskyddsprinciperna; principen om integritet och konfidentialitet. Till exempel kan företag kryptera personuppgifter och använda en molntjänst där de säkerhetskopierar personuppgifter. Ju viktigare personuppgifterna är, desto högre är säkerhetskraven.