Hur du hanterar en personuppgiftsincident
Om det inträffar en säkerhetsincident som omfattar personuppgifter så ska du omedelbart anmäla detta till dataskyddsombud@lu.se och till servicedesk@lu.se.
Det är mycket viktigt att anmälan sker omedelbart, senast 72 timmar från det att organisationen fick vetskap om incidenten så att de registrerades rättigheter som omfattas av incidenten kan tillgodoses. Om du känner dig osäker på om det är en incident så kontakta dataskyddsombud [at] lu [dot] se.
Vad är en personuppgiftsincident?
En personuppgiftsincident är en incident som leder till oavsiktlig eller olaglig förstöring, förlorad åtkomst, förlust eller ändring av de personuppgifter som behandlas, eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.
En personuppgiftsincident kan exempelvis leda till fysisk materiell eller immateriell skada, diskriminering, identitetsstöd, ekonomisk förlust eller skadat anseende. Det kan leda till obehörigt hävande av kryptering eller pseudonymisering, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt med mera.
Checklista - detta kan du förbereda inför anmälan
Här är en lista på information som är bra att ta fram för bedömning av incidenten. När det gäller mängd av personuppgifter så räcker det med en initial uppskattning. Skulle begreppen nedan vara svåra att förstå går det utmärkt att kontakta dataskyddsombud [at] lu [dot] se direkt så hjälper vi till.
Har det inträffat en säkerhetsincident som lett till:
- Oavsiktlig eller olaglig förstöring, förlorad åtkomst, förlust eller ändring av de personuppgifter som behandlas, eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas?
- Har incidenten inträffat hos LU eller hos ett personuppgiftsbiträde? Vilket?
- Hur många registrerade har påverkats?
- Hur många uppgifter hos registrerade har påverkats?
- Vilka grupper tillhör de registrerade, till exempel anställda, studenter?
- Vilken sorts personuppgifter omfattas av incidenten?
- Vad kan konsekvenserna bli av incidenten?
- Hur allvarlig är incidenten är med hänsyn till de registrerades integritet?
Exempel på personuppgiftsincidenter:
En personuppgiftsansvarig sparade en säkerhetskopia av ett arkiv över personuppgifter på ett USB-minne. Minnet stals under ett inbrott och var okrypterat.
Exempel på förlust eller ändring av personuppgifter
En personuppgiftsansvarig driver en onlinetjänst. Till följd av ett it-angrepp på den tjänsten har enskilda personers personuppgifter olovligen kopierats (exfiltrerats).
En personuppgiftsansvarig driver en marknadsplats på nätet. Marknadsplatsen utsätts för ett it-angrepp och angriparen publicerar användarnamn, lösenord och köphistorik på nätet.
Exempel på obehörigt röjande av eller obehörig åtkomst
Personuppgifter från en stor mängd studenter skickas av misstag till fel sändlista med över 1 000 mottagare.
Ett epostmeddelande i direktmarknadsföringssyfte skickas till mottagare i fälten ”till:” eller ”cc:”. Detta gör det möjligt för alla mottagare att se andra mottagares e-postadress.
Exempel på obehörigt röjande av eller obehörig åtkomst
Ett kort strömavbrott under några minuter på en personuppgiftsansvarigs teletjänstcentral innebär att kunder inte kan ringa till den personuppgiftsansvarige och få tillgång till sina uppgifter.
Exempel på förlorad åtkomst till de personuppgifter som behandlas
En personuppgiftsansvarig utsätts för ett angrepp med ransomware vilket leder till att alla uppgifter krypteras. Det finns inga säkerhetskopior och uppgifterna kan inte återställas. Vid en närmare undersökning visar det sig att det enda syftet med angreppet var att kryptera uppgifterna, och att det inte fanns några andra sabotageprogram i systemet.
Exempel på förlorad åtkomst till de personuppgifter som behandlas
Ett webbhotell som fungerar som personuppgiftsbiträde noterar ett fel i den kod som styr användarauktorisationen. Konsekvensen av bristen innebär att alla användare kan få tillgång till alla andra användares kontouppgifter.
Exempel på obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.
Patientjournaler på ett sjukhus är inte tillgängliga under 30 dagar på grund av ett it-angrepp.
Exempel på förlorad åtkomst till de personuppgifter som behandlas
Säkerhet för personuppgifter
När det gäller frågor om säkerhet för personuppgifter, så planeras dessa hanteras enligt ett sammanhållet ramverk för informationssäkerhet. Med stöd av ramverket ska informationstyper, till exempel personuppgifter, klassas utifrån konfidentialitet, riktighet och tillgänglighet. Känsliga personuppgifter och extra skyddsvärda personuppgifter kommer få en högre klassning och därmed högre skyddsvärde än övriga personuppgifter.
Läs mer om informationssäkerhet
Till dess ramverket implementerats enligt rektorsbeslut lämnas vägledning baserat på de principer om säkerhet som finns i dataskyddsförordningen. Rekommendationer:
- Pseudonymisera personuppgifter inom forskning om ändamålet med behandlingen kan uppfyllas på det viset.
- Säkerställ en lämplig säkerhetsnivå med hänsyn till personuppgifternas känslighet, mängd o dyl. Detta gäller till exempel IT-relaterat skydd som lagringsplats, kryptering och behörighetsstyrning. Vissa av dessa IT-tjänster erbjuds av lokala IT-avdelningar, LDC eller systemägare.
- Överväg kryptering och kodning
- Överväg loggning och uppföljning
- Se till att ha backup i din lagringslösning
För vidare stöd kring frågor om informationssäkerhet:
Kontakt: informationssakerhet [at] lu [dot] se (informationssakerhet[at]lu[dot]se)
Anmälan av personuppgiftsincident
Har något hänt med personuppgifter? Vi hjälper dig!
Kontakta oss på dataskydd [at] lu [dot] se
Om något händer
Ring alltid 112 i en nödsituation!
Universitetets larmnummer är +46 46 222 07 00.
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)