Säkerhet för personuppgifter och hur du hanterar en säkerhetsincident

Säkerhet för personuppgifter

När det gäller frågor om säkerhet för personuppgifter, så planeras dessa hanteras enligt ett sammanhållet ramverk för informationssäkerhet. Med stöd av ett sådant ramverk ska informationstyper, till exempel personuppgifter, klassas utifrån vissa parametrar där känsliga personuppgifter och extra skyddsvärda personuppgifter kommer få en högre klassning och därmed högre skyddsvärde än övriga personuppgifter. Baserat på klassningen och riskbedömningar m.m. kommer olika roller att ansvara för att rätt skydd finns på plats, till exempel kommer systemägare att kommunicera vilka IT-system som kan användas för olika informationstyper.

Arbete pågår på detta område med syfte att få ett nytt ramverk beslutat och implementerat. Detta arbete drivs av universitetets informationssäkerhetssamordnare och beräknas ta viss tid att få på plats.

Till dess ovannämnda ramverk är beslutat lämnar dataskyddsombudet vägledning baserat på de principer om säkerhet som finns i dataskyddsförordningen.

Rekommendationer:

  • Pseudonymisera personuppgifter inom forskning om ändamålet med behandlingen kan uppfyllas på det viset.

  • Säkerställ en lämplig säkerhetsnivå med hänsyn till personuppgifternas känslighet, mängd o dyl. Detta gäller till exempel IT-relaterat skydd som lagringsplats, kryptering och behörighetsstyrning. Vissa av dessa IT-tjänster erbjuds av lokala IT-avdelningar, LDC eller systemägare.  

  • Överväg kryptering och kodning

  • Överväg loggning och uppföljning

  • Se till att ha backup i din lagringslösning

För vidare stöd kring frågor om säkerhet för personuppgifter hänvisas till informationssäkerhetssamordnare Ingegerd Wirehed. Det går bra att lägga frågor och ärenden till funktions-epostadressen nedan i avvaktan på att ett nytt informationssäkerhetsramverk har beslutats och implementerats.

Funktionsadress: informationssakerhet [at] lu [dot] se

Hur du ska hantera en säkerhetsincident som omfattar personuppgifter

Om det inträffar en säkerhetsincident som omfattar personuppgifter så ska du omedelbart rapportera detta till dataskyddsombud [at] lu [dot] se och till servicedesk [at] lu [dot] se.

Det är mycket viktigt att rapporteringen sker omedelbart så att de registrerades rättigheter som omfattas av incidenten kan tillgodoses och, om så krävs, rapportering sker till Datainspektionen enligt den tidsfrist som gäller enligt dataskyddsförordningen (72 timmar från det att organisationen fick vetskap om incidenten). Om du är osäker på om en incident inträffat, kontakta dataskyddsombudet för vägledning.

Vad är då en säkerhetsincident som omfattar personuppgifter?

En personuppgiftsincident är en säkerhetsincident som leder till:

  • oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, eller

  • obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.

Ett antal tänkbara konsekvenser av personuppgiftsincidenter kan hjälpa oss att förstå begreppet. Incidenten leder till:

  • Fysisk, materiell eller immateriell skada, till exempel förlust av kontroll över de egna personuppgifterna 

  • Begränsning i registrerades rättigheter,

  • Diskriminering,

  • Identitetsstöld eller bedrägeri,

  • Ekonomisk förlust,

  • Obehörigt hävande av kryptering eller pseudonymisering,

  • Skadat anseende,

  • Förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, eller

  • Annan ekonomisk eller social nackdel för den berörda fysiska personen (exempelvis om någon obehörigen kommer över personuppgifter på en bank, vilket i förlängningen kan leda till ekonomisk förlust för enskilda)

Längre ned på sidan, under rubriken Exempel på personuppgiftsincidenter från såväl högskolesektorn som andra sektorer, anges ett antal exempel på personuppgiftsincidenter.

Hur kan jag avgöra om en säkerhetsincident inträffat som omfattar personuppgifter och lämna information om omfattningen av incidenten?
 

- Checklista:

  1. Har det inträffat en säkerhetsincident som lett till: 
    a) oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas, eller
    b) obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas?

  2. Har incidenten inträffat hos LU eller hos ett personuppgiftsbiträde? Vilket?

  3. Hur många registrerade har påverkats? (initial uppskattning räcker)

  4. Hur många uppgifter hos registrerade har påverkats? (initial uppskattning räcker)

  5. Vilka grupper tillhör de registrerade, till exempel anställda, studenter?

  6. Vilken sorts personuppgifter omfattas av incidenten?

  7. Vad kan konsekvenserna bli av incidenten?

  8. Hur allvarlig är incidenten är med hänsyn till de registrerades integritet? (initial uppskattning räcker)

Oavsett om det är en eller ett flertal registrerade, vilken typ av personuppgifter eller mängd som incidenten omfattar ska den rapporteras omedelbart till dataskyddsombud [at] lu [dot] se och till servicedesk [at] lu [dot] se.

Exempel på personuppgiftsincidenter från såväl högskolesektorn som andra sektorer

1) En personuppgiftsansvarig sparade en säkerhetskopia av ett arkiv över personuppgifter på ett USB-minne. Minnet stals under ett inbrott.  

2) En personuppgiftsansvarig driver en onlinetjänst. Till följd av ett it-angrepp på den tjänsten har enskilda personers personuppgifter exfiltrerats.

3) Personuppgifter från en stor mängd studenter skickas av misstag till fel sändlista med över 1 000 mottagare.

4) Ett epostmeddelande i direktmarknadsföringssyfte skickas till mottagare i fälten ”till:” eller ”cc:”. Detta gör det möjligt för alla mottagare att se andra mottagares e-postadress.

5) Ett kort strömavbrott under några minuter på en personuppgiftsansvarigs teletjänstcentral innebär att kunder inte kan ringa till den personuppgiftsansvarige och få tillgång till sina uppgifter. 

6) En personuppgiftsansvarig utsätts för ett angrepp med ransomware vilket leder till att alla uppgifter krypteras. Det finns inga säkerhetskopior och uppgifterna kan inte återställas. Vid en närmare undersökning visar det sig att det enda syftet med angreppet var att kryptera uppgifterna, och att det inte fanns några andra sabotageprogram i systemet.

7) En person ringer en banks teletjänstcentral för att rapportera en personuppgiftsincident. Personen har fått en annan persons månatliga kontoutdrag. 

8) En personuppgiftsansvarig driver en marknadsplats på nätet. Marknadsplatsen utsätts för ett it-angrepp och angriparen publicerar användarnamn, lösenord och köphistorik på nätet.

9) Ett webbhotell som fungerar som personuppgiftsbiträde noterar ett fel i den kod som styr användarauktorisationen. Konsekvensen av bristen innebär att alla användare kan få tillgång till alla andra användares kontouppgifter.

10) Patientjournaler på ett sjukhus är inte tillgängliga under 30 dagar på grund av ett it-angrepp.