Det finns flera förberedelser inför personuppgiftsincidenter som företag kan göra. Ju bättre förberedelser, desto mindre risk för att incidenter inträffar samt att det går att minimera konsekvenserna om det skulle ske. Dessutom är det viktigt att veta vad som behöver göras när det inträffar.
Det går i vissa fall att agera för att minimera konsekvenserna, vilket redan bör vara planerat för att det ska gå fort. Exempelvis att byta lösenord så snabbt det går om någon obehörig får tillgång till det, så att risken att de kunnat få ut information eller mycket information minskar.
Exempel på förberedelser inför personuppgiftsincidenter som företag kan göra
Här är en lista på några saker att tänka på som förberedelse inför en personuppgiftsincident:
- Vilken medarbetare på företaget ska ta ansvar för processen att hantera incidenten?
- Har personen tillräckliga befogenheter för att kunna hantera situationen, exempelvis genom att kunna fatta viktiga beslut?
- Kommunikation är viktigt och därför är det bra att bestämma vem som ska kontakta vem om en incident sker.
- Ha mallar för att kunna kommunicera med både IMY och registrerade avseende incidenten. Det är viktigt att tillräckligt information framgår enligt kraven i GDPR och därför är det bra att ha det klart i mallar innan och fylla i informationen som krävs därefter.
- I vissa fall kan en personuppgiftsincident skapa ett stort tryck på kundtjänsten, eftersom många vill kontakta företaget och har frågor. Därför är det bra att vara förberedd och kanske ge information på webbplatsen eller liknande för att minimera trycket. Dessutom är det bra att vara förberedd på hur företaget och medarbetarna ska agera om det sker ändå.
- Ha skriftliga interna rutiner för hur företaget ska agera om det inträffar en personuppgiftsincident och informera medarbetarna om vart rutinerna finns tillgängliga. Dessutom behöver företaget loggföra incidenterna internt enligt GDPR, även om inte samtliga incidenter behöver bli anmälda till IMY.
Personuppgiftsincidenter
En säkerhetsincident som kan resultera i att det finns en risk för individers friheter och rättigheter, är en personuppgiftsincident. I vissa fall kan incidenten även utgöra ett brott, exempelvis vid dataintrång. Vid sådana fall ska det bli anmält både till IMY och Polisen. Däremot är det inte alla incidenter som ska bli anmälda till IMY. Om en anmälan ska lämnas, ska det ske inom 72 timmar från att incidenten blivit upptäckt.
Vanliga personuppgiftsincident
En vanlig personuppgiftsincident är felskickade mejl. Det har varit den vanligaste personuppgiftsincidenten de första åren sedan GDPR började gälla i maj 2018. Därför är det bra att vara noggrann när man skriver in mejladressen, för att undvika att det ska bli fel. Den vanligaste orsaken till att personuppgifter sker beror på den mänskliga faktorn enligt rapporter från IMY.
