GDPR & Dataskydd

Incidentrapportering

Hantera personuppgiftsincidenter och rapportera till IMY.

Sammanfattning

Personuppgiftsincidenter måste dokumenteras och ofta rapporteras till IMY inom 72 timmar. En incident är varje säkerhetshändelse som påverkar personuppgifters konfidentialitet, integritet eller tillgänglighet. Securapilot guidar er genom bedömning och rapportering.


Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av personuppgifter.

Rapporteringskrav

Incidenter som kan innebära risk för registrerades rättigheter ska rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar.

### Bedömningskriterier

Securapilot hjälper dig bedöma om incidenten behöver rapporteras baserat på:
  • Typ av uppgifter (känsliga uppgifter = högre risk)
    - Antal berörda registrerade
    - Sannolikhet för negativa konsekvenser
    - Om uppgifterna var krypterade/pseudonymiserade

    • Steg för steg

    1

    Registrera incident

    Gå till GDPR > Incidenter och klicka "Ny incident"

    2

    Beskriv händelsen

    Vad hände, när och hur upptäcktes det

    3

    Bedöm påverkan

    Vilka uppgifter och hur många berörda

    4

    Besluta om rapportering

    Använd guiden för att avgöra rapporteringsplikt

    5

    Generera anmälan

    Skapa IMY-anmälan direkt från systemet

    Tips

    Bra att veta
    • Dokumentera alla incidenter, även de som inte rapporteras
    • Ha en incidentprocess på plats innan något händer
    • 72-timmarsfristen börjar när ni får vetskap om incidenten

    Mer information


    #

    Vad räknas som en personuppgiftsincident?

    En personuppgiftsincident omfattar varje händelse som leder till:
  • Förlust av personuppgifter (t.ex. borttappad enhet)
    - Obehörig åtkomst (t.ex. hackerattack eller felskickad e-post)
    - Oavsiktlig ändring av uppgifter
    - Förstöring av uppgifter (t.ex. ransomware)

    72-timmarsregeln

    Tidsfristen på 72 timmar börjar räknas från det ögonblick organisationen får vetskap om incidenten. Det räcker att en anställd upptäcker incidenten för att klockan ska börja ticka. Därför är det kritiskt att ha tydliga interna rapporteringsrutiner.

    ### Bedöm rapporteringsplikten

    Inte alla incidenter behöver rapporteras till IMY. Rapportering krävs endast om incidenten sannolikt leder till risk för registrerades rättigheter. Securapilots bedömningsguide hjälper er avgöra detta genom att väga:
    - Typen av personuppgifter (känsliga uppgifter = högre risk)
    - Antalet berörda individer
    - Om uppgifterna var skyddade (kryptering, pseudonymisering)
    - Sannolikheten för negativa konsekvenser

    ### Dokumentationskrav

    Även incidenter som inte rapporteras till IMY måste dokumenteras internt. Dokumentationen ska visa:
    - Vad som hände och när
    - Vilka åtgärder som vidtogs
    - Varför incidenten inte rapporterades (om tillämpligt)

    Koppla incidenthantering till er [registerförteckning](/help/gdpr/behandlingsaktiviteter) för att snabbt identifiera vilka behandlingar som påverkas.

    • Vanliga frågor

    Vad händer om vi missar 72-timmarsfristen?
    Rapportera ändå så snart som möjligt och förklara orsaken till förseningen i anmälan. Att inte rapportera alls är allvarligare än att rapportera sent. IMY kan utfärda sanktionsavgifter för försenad rapportering, men tar hänsyn till omständigheterna.
    Måste vi informera de registrerade om incidenten?
    Ja, om incidenten sannolikt leder till hög risk för registrerades rättigheter och friheter. Informationen ska vara tydlig och innehålla vad som hänt, vilka konsekvenser det kan få och vilka åtgärder ni vidtagit. Securapilot hjälper er generera lämplig kommunikation.
    Hur dokumenterar vi incidenter som inte rapporteras?
    Alla incidenter ska dokumenteras i ett internt incidentregister oavsett rapporteringsplikt. Dokumentera händelseförlopp, påverkade uppgifter, vidtagna åtgärder och motivering till varför incidenten inte rapporterades. Securapilot skapar automatiskt denna dokumentation.

    Relaterade resurser

    GDPR-modulen Komplett GDPR-stöd i Securapilot
    Registerförteckning Identifiera berörda behandlingar vid incident
    DSAR-hantering Hantera förfrågningar från registrerade
    Konsekvensbedömning (DPIA) Bedöm risker innan behandling startar
    Föregående Hantera registrerades rättigheter
    Nästa Konsekvensbedömning (DPIA)

    Var denna artikel till hjälp?

    Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer