Personuppgiftsincidenter
Utföra en riskbedömning när en personuppgiftsincident inträffar
Företag ska utföra en riskbedömning när en personuppgiftsincident inträffar. En personuppgiftsincident är en säkerhetsincident som innebär att någon obehörig får tillgång till personuppgifter, eller att de blir ändrade eller förstörda. Genom att genomföra en riskbedömning, kan företaget bedöma vilka åtgärder som de behöver vidta för att minimera riskerna och konsekvenserna av den inträffade personuppgiftsincidenten.
Företag ska utföra en riskbedömning när en personuppgiftsincident inträffar
Nedan kan du läsa om några faktorer som företag bör ta i beaktande när de utför riskbedömningen:
Vilken typ av personuppgiftsincident det är
Beroende på vilken typ av incident det gäller, kan konsekvenserna variera. I värsta fall får det stora konsekvenser. Till exempel om ett kreditkortsnummer eller passfoto läcker och det sker en identitetsstöld, ett bedrägeri eller liknande. I många fall är det också värre när personuppgifterna utgör en kombination av olika typer, vilket är bra att ha i beaktande.
Karaktär och hur känsliga personuppgifterna är
Ju viktigare personuppgifter, desto större är risken för att de registrerades fri- och rättigheter påverkas. Därför är det viktigt att analysera hur viktiga personuppgifterna som omfattas av personuppgiftsincidenten är. I GDPR finns det fyra kategorier av integritetskänsliga personuppgifter, varav känsliga personuppgifter som regleras i artikel 9 i GDPR utgör en av kategorierna.
Hur enkelt det är att identifiera de registrerade
En uppgift som går att koppla till en fysisk levande person är en personuppgift. Kopplingen kan ske både direkt eller indirekt i kombination med andra uppgifter. Det är viktigt att analysera hur enkelt det är att identifiera de registrerade genom personuppgifterna som omfattas av incidenten, när man utför riskbedömningen. Detta är nödvändigt för att analysera potentiella konsekvenser av incidenten.
Om ett företag har krypterat personuppgifter och någon obehörig får tillgång till en del av de krypterade uppgifterna, men inte kan avläsa dem utan de andra delarna, så kan det vara mindre allvarligt eftersom risken för missbruk är mindre.
Konsekvenser som en inträffad personuppgiftsincident kan medföra för registrerade
Det är viktigt att analysera vilka konsekvenser som personuppgiftsincidenten kan ha för de registrerade. Dessutom är det bra att analysera hur det är möjligt att minimera riskerna.
Till exempel kan risker minimeras genom att informera de registrerade, för att ge dem möjligheten att vidta åtgärder. Dessutom ska företag vidta egna lämpliga åtgärder för att minimera riskerna.
Om man känner till att kriminella har fått tillgång till uppgifterna, är risken högre för att de kommer att missbrukas.
Typen av registrerade och typen av företagets verksamhet
Det är viktigt att analysera vilka typer av registrerade som blivit påverkade av en inträffad personuppgiftsincident. Till exempel har barn och sjuka ett starkare skydd, eftersom de är extra skyddsvärda. Därför kan det vara allvarligare om personuppgiftsincidenten avser deras personuppgifter.
Beroende på vilken typ av företag den personuppgiftsansvarige driver, skiljer sig riskerna. Om en läkarklinik blir drabbad av ett dataintrång där känsliga personuppgifter om hälsotillstånd blir läckta, är det en allvarligare incident än om exempelvis information om vilka som är prenumeranter av en filmtjänst blir läckt.
Volymen av antalet registrerade och antalet personuppgifter
Det är dessutom viktigt att analysera volymen av antalet registrerade och personuppgifter som omfattas av personuppgiftsincidenten.
Mer information om personuppgiftsincidenter
Dokumentation vid personuppgiftsincidenter
Företag måste alltid dokumentera alla personuppgiftsincidenter som inträffar. I dokumentationen ska företaget motivera sina ställningstaganden och bland annat beskriva vad som hänt. Dessutom är det bra för företag att upprätta rutiner för sina medarbetare där det framgår hur de ska agera vid en personuppgiftsincident. Detta är bra att göra, för att personalen på ett snabbt och effektivt sätt ska kunna hantera personuppgiftsincidenten och minimera riskerna.