Personuppgiftsincidenter

Senast ändrad: 04 mars 2024

En personuppgiftsincident är en säkerhetsincident som leder till att personuppgifter oavsiktligt eller olagligen ändras, förstörs eller går förlorade. Personuppgiftsincidenter måste rapporteras i IA-systemet så snart som möjigt.

En personuppgiftsincident kan också innebära att någon obehörigen röjer uppgifterna eller att obehöriga får åtkomst till dem. Det spelar ingen roll om det sker oavsiktligt eller med avsikt.

Några exempel på personuppgiftsincidenter:

  • Datorer som innehåller personuppgifter blir stulna eller förloras på annat sätt.

  • Någon obehörig får tillgång till personuppgifter, till exempel om ett mejl med personuppgifter skickas till fel mottagare, eller om behörighetsinställningarna för en mapp är felaktiga.

  • Någon ändrar personuppgifter utan tillstånd.

  • Personuppgifter är inte längre tillgängliga för den som behöver dem och det får negativa konsekvenser för den registrerade. Ett exempel är att originaldata oavsiktligt förstörs och sedan inte kan återskapas.

Personuppgiftsincidenter måste rapporteras

SLU måste dokumentera alla personuppgiftsincidenter. Om incidenten medför risker för registrerade personers fri- och rättigheter måste den även anmälas till Integritetskyddsmyndigheten (IMY).

Anmälan till IMY ska göras inom 72 timmar från det att vi konstaterat att en incident har inträffat. Det är SLU:s dataskyddsombud som gör anmälan. Det är därför viktigt att du som SLU-medarbetare rapporterar en incident så snart som möjligt. Det gör du i IA-systemet.

Om du är osäker på om det som skett är en personuppgiftsincident, kontakta dataskydd@slu.se. Skriv PUI i ämnesraden.