Incidenthantering

GDPR kräver att personuppgiftsincidenter rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. Nedan kan ni se hur vi jobbar med detta.

Incident

Om en programrelaterad incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i Seven Time som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Incidentprocess

Processen är indelad i delprocesserna identifiering av incident, konsekvensanalys, åtgärdsprocess, kommunikation och Root Cause Analysis (RCA).

Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerhetsställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:
  • Vilken typ av incident det är fråga om
  • Vilka kategorier av personer som kan komma att beröras
  • Hur många personer det berör
  • Vilka konsekvenser incidenten kan få
  • Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.
Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en Root Cause Analysis i syfte att förhindra att problemet uppstår igen.