Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors rättigheter och friheter. Alla vid Göteborgs universitet har en skyldighet att rapportera incidenter som de upptäcker. 

Riskerna vid en personuppgiftsincident kan innebära att någon förlorar kontrollen över sina uppgifter eller att människors rättigheterna inskränks. En personuppgiftsincident har inträffat om, till exempel, uppgifter som berör en eller flera registrerade personer har:

  • blivit förstörda,
  • gått förlorade på annat sätt eller
  • kommit i orätta händer.

En personuppgiftsincident är alltså en säkerhetsincident som har påverkat konfidentialiteten, riktigheten eller tillgängligheten till uppgifterna. 

Exempel på när en personuppgiftsincident har inträffat är när:

  • En obehörig part har fått tillgång till personuppgifterna, exempelvis om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna. 
  • Datorer som innehåller personuppgifter har förlorats eller stulits.
  • Någon har ändrat personuppgifter utan tillstånd.
  • Personuppgifterna är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.

Göteborgs universitet är ansvarig för att hantera och bedöma personuppgiftsincidenter som sker inom universitetets verksamhet, inklusive inom ramen för arbeten i studier (som exempelvis självständiga uppsatser, projektarbeten eller andra självständiga inlämningsuppgifter). 

Så rapporterar du en personuppgiftsincident

När du upptäcker en misstänkt personuppgiftsincident (PUI) på Göteborgs universitet ska du rapportera den internt så fort du fått kännedom om den. Det gör du genom att skicka ett mejl till  dataskydd@gu.se med kopia till din handledare eller kursansvarige lärare.

Universitetets dataskyddsgrupp kommer då att inleda dokumentation och bedömning av incidenten. Den information som beskrivs nedan ska inkluderas i rapporteringen.

Det är mycket viktigt att det går fort vid inrapporteringen eftersom allvarliga incidenter måste anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från det att incidenten upptäckts. Under de 72 timmarna ska universitetets dataskyddsgrupp och dataskyddsombudet hinna göra sin bedömning av incidenten.

Detta ska inkluderas i rapporteringen

  • Klockslag och datum då incidenten upptäcktes.
  • Klockslag och datum då incidenten inträffade alternativt en uppskattning av hur länge incidenten har pågått.
  • En kort beskrivning av incidenten, vad är det som har hänt?
  • Vilka typer av personuppgifter som omfattas av incidenten och vilka kategorier av personer som omfattas (exempelvis andra studenter eller personer vars personuppgifter ingår i ditt arbete). 
  • Hur många personer som omfattas av incidenten och hur många personuppgifter det handlar om för varje berörd person.
  • Kontaktuppgifter till kursansvarig samt ansvarig för incidenten (vanligtvis du som student som behandlar personuppgifter inom ditt arbete).
  • Beskrivning av eventuella åtgärder som redan har vidtagits eller, om incidenten inte längre pågår, beskrivning av hur den har åtgärdats eller rättats till.

Det händer efter att du anmält en incident

Efter att dataskyddsgruppen tagit emot rapporteringen kommer incidenten att tilldelas ett ärendenummer. Sedan görs en första bedömning i samråd med dig som anmält samt den som är ansvarig för incidenten enligt universitetets handläggningsordning.

I vissa fall kontaktar dataskyddsgruppen dataskyddsombudet (DSO) för att få dennes utlåtande om incidenten även bör anmälas till Integritetsskyddsmyndigheten (IMY). Dataskyddsgruppen tar kontakt med DSO vid svårbedömda eller extra allvarliga incidenter.

Dataskyddsgruppen, dataskyddsombudet och ansvarig för incidenten tar tillsammans fram en åtgärdsplan för att hantera incidenten så skyndsamt som möjligt. Om incidenten måste anmälas till IMY stöttar dataskyddsgruppen ansvarig för incidenten vid anmälan. Exempel på åtgärder som kan vidtas i samband med en åtgärdsplan är bland annat att:

  • Behandlingen förändras för att minska risken för de registrerade.
  • De registrerade informeras om incidenten, incidentens konsekvenser och vilka åtgärder som vidtagits för att rätta till eller åtgärda incidenten.
  • En anmälan lämnas in till IMY med information om incidenten. 

Kontakt

Personuppgiftsincidenter ska rapporteras till universitetets dataskyddsgrupp: dataskydd@gu.se

Skicka en kopia till din handledare eller kursansvarige lärare.