Hantera personuppgiftsincident

Det är mycket viktigt att en misstänkt personuppgiftsincident hanteras omedelbart. Enligt lag ska incidenten senast 72 timmar från det att organisationen får vetskap om den och om den innebär risk för de individer vars uppgifter berörs, anmälas till Integritetsskyddsmyndigheten (IMY). Om du känner dig osäker på om det har inträffat en personuppgiftsincident och/eller hur allvarlig incidenten är, kontakta dso@su.se för rådgivning.

Vad är en personuppgiftsincident?

En personuppgiftsincident är när en händelse inträffar som leder till oavsiktlig eller olaglig förstöring, förlorad åtkomst, förlust eller ändring av, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas. Exempel på personuppgiftsincidenter är när personuppgifter drabbas genom förlorad dator eller skadad hårddisk, cyberattack, mänskligt misstag i det dagliga arbetet, strömavbrott eller brand (obs exemplen är inte uttömmande).

En personuppgiftsincident kan exempelvis leda till fysisk materiell eller immateriell skada, diskriminering, identitetsstöld, ekonomisk förlust eller skadat anseende för den registrerade och för Stockholms universitet.

Använd mallen dokumentation av personuppgiftsincident docx, 161.1 kB. för att dokumentera och bedöma personuppgiftsincidenten och kontakta därefter dataskyddsombudet på dso@su.se.

Integritetsskyddsmyndigheten har publicerat utförlig information om personuppgiftsincidenter. Ta del av informationen här Personuppgifts­incidenter | IMY.

Se också avsnitt 7.5 i Regler för organisation och genomförande av dataskydd vid Stockholms universitet.