Hoppa till innehåll

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.

Personuppgiftsincident

Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident, om du misstänker att det har inträffat en incident eller om du ser en risk för att det kan inträffa en incident.
Medarbetare Rapportera en personuppgiftsincident här

Leverantör Rapportera en personuppgiftsincident här


Definition av personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident där personuppgifter här:

  • ­har blivit förstörda (raderade),
  • ­har ändrats (uppgifterna är inte längre korrekta)
  • ­tillgången till uppgifterna har förlorats (exempelvis pga. stulen dator, avbrott i en IT-tjänst eller en ransomware-attack) eller,
  • ­har exponerats till/blivit tillgängliga för obehöriga (obehörigt röjande/obehörig åtkomst)

Exempel på personuppgiftsincidenter

  • Ett mejl med känsliga eller extra skyddsvärda personuppgifter skickas till fel mottagare.
  • Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
  • Uppgifter om en elev med skyddad identitet har felaktigt synktas vidare till andra verksamhetssystem
  • En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.

Konsekvenser av en incident

En personuppgiftsincident kan leda till att en person förlorar kontrollen över sina uppgifter eller en individs rättigheter inskränks som i sin tur kan resultera i exempelvis diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt. Syftet med att rapportera och anmäla incidenter är att förhindra skada för den enskilda och förbättra skyddet för enskildas personuppgifter så att en incident inte upprepas.

När ska du rapportera en personuppgiftsincident ?

Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör)

  • vet att det inträffat en incident
  • misstänker att det har inträffat en incident
  • ser en risk för att det kan inträffa en incident.

Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad.

Nacka kommun ska enligt lag anmäla vissa typer av incidenter till Integritetskyddsmyndigheten (IMY). Medarbetaren/personuppgiftsbiträdet rapporterar incidenten i ovanstående e-tjänst, sedan fördelas incidenten till ansvarig enhet. Eventuell anmälan av incidenten till IMY ska ske inom 72 timmar från det att den upptäckts (läs även mer nedan).

Handläggning av personuppgiftsincidenter

Personuppgiftsincidenter som rapporterats in i e-tjänsten ovan registreras i Ciceron och ärendet fördelas till den enhet/verksamhet där incidenten ägt rum. Vanligtvis ansvarar enhetens dataskyddssamordnare eller annan utsedd person på enheten för att säkerställa att incidenten åtgärdats, dokumenterar och riskbedömer incidenten tillsammans med dataskyddsombud.

Beslut om en incident ska anmälas till IMY eller inte fattas av enhetschef i samråd med dataskyddsombud enligt respektive nämnds delegationsordning. En anmälan måste ha kommit till IMY 72 timmar från att incidenten upptäcktes, varför det är viktigt att skyndsamt bedöma om en anmälan krävs eller ej.

För att få notis från Ciceron om att ett nytt ärende skapats, måste varje användare själv aktivera sina notiser. Läs mer om hur du aktiverar notiser.

Nedan hittar du instruktioner och rutiner för handläggning av personuppgiftsincidenter (inloggning krävs).

Sidan uppdaterades: