Incidenthantering

För att kunna leva upp till de nya skyldigheterna enligt dataskyddsförordningen är det viktigt att organisationer som behandlar personuppgifter har rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Denna skyldighet är en nyhet i dataskyddsförordningen.

Var är en personuppgiftsincident?

Med en personuppgiftsincident menas en incident som är kopplad till personuppgifter. Inträffar en incident som rör personuppgifter på det sätt att kontroll eller rättigheter över personuppgifter inskränks räknas det till en personuppgiftsincident.

Det kan till exempel röra sig om att personuppgifter kommer i orätta händer eller går förlorade. Skulle en sådan incident inträffa, avsiktligt eller oavsiktligt, måste det rapporteras till Datainspektionen inom 72 timmar från det att det upptäcks.

Utebliven rapportering till Datainspektionen kan leda till Sanktionsavgift. Det är därför av yttersta vikt att den som behandlar personuppgifter vidtar förebyggande åtgärdar för att förhindra att sådana incidenter inträffar.

Det juridiska ansvaret för behandling av personuppgifter samt rapportering av personuppgiftsincidenter ligger alltid på den personuppgiftsansvarige. Det innebär att även om man använder ett personuppgiftsbiträde har man som personuppgiftsansvarig en skyldighet att rapportera efter det att personuppgiftsbiträdet rapporterat incidenten till personuppgiftsansvarige.

Hur arbetar Acconomy vid en incident?

På Acconomy har vi rutiner för att förebygga, upptäcka, hantera och rapportera de incidenter som räknas till personuppgiftsincidenter.

Förebygga

Vi har all information på säkra platser enligt senaste tekniken för att skydda dina uppgifter och hålla integriteten. All kommunikation från webbläsare och andra enheter till www.promikbook.com sker krypterat.

Informationen är skyddad med både fysisk och teknisk åtkomstkontroll för att förhindra obehörig åtkomst.

Upptäcka

Acconomy använder inbyggda varningssystem för att få information om säkerheten skulle brista. Dessutom sker det kontroller med jämna mellanrum för att validera och/eller uppdatera säkerheten. Ett exempel på uppdaterad säkerhet är lösenordsbyte och åtkomstkontroller.

Hantera

Om en incident upptäcks har Acconomy en åtgärdsplan som följs.

1. Identifiering
Första steget är att identifiera incidenten för att se om det rör sig om en personuppgiftsincident.

2. Analys
Andra steget är Analys som består av 3 st delsteg.

2.1 Analys av personuppgifter
Steget innebär att vi analyser vilka personuppgifter som påverkats och vad konsekvenserna blir.

2.2 Analys av drabbade
Andra steget innebär att analysera mer noggrant vilka personuppgiftsansvariga som drabbas av incidenten och på vilket sätt.

2.3 Analys av incidenten
Sista steget innebär att vi analyserar incidenten och tar fram en åtgärdsplan för att förhindra och motverka liknande incidenter.

3. Rapportering
Vid behov rapporteras incidenten till Datainspektionen.
Vid behov meddelas de registrerade som drabbats.
Vid behov meddelas de personuppgiftsansvariga som drabbats.

4. Åtgärd
I åtgärdssteget ser vi till att utföra de åtgärder som krävs beroende på incidenten för att förhindra och motverka liknande incidenter.