Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Hur du hanterar en personuppgiftsincident

Anmäl omedelbart säkerhetsincidenter som rör personuppgifter till dataskyddsombud@lu.se och servicedesk@lu.se

Anmäl personuppgiftsincidenten inom 72 timmar från att den upptäcktes för att skydda de de som kan vara drabbade. Om du känner dig osäker och vill ha stöd och råd så kontakta oss på dataskyddsombud [at] lu [dot] se.  

Vad är en personuppgiftsincident? 

En personuppgiftsincident innebär att något oväntat händer med personuppgifter. Det kan vara att uppgifterna förstörs, förloras, ändras eller att någon obehörig får tillgång till dem.

Konsekvenserna kan vara:

  • Fysisk eller psykisk skada
  • Diskriminering
  • Identitetsstöld
  • Ekonomisk förlust
  • Skadat anseende

Det kan också innebära att kryptering eller skydd av uppgifterna bryts, eller att konfidentiella uppgifter läcker ut.

Checklista - detta kan du förbereda inför anmälan

Här är information som är bra att ha för att bedöma incidenten. Kontakta oss på dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se) för stöd och hjälp.

  1. Typ av incident:
    • Har det inträffat en säkerhetsincident som lett till:
      • Oavsiktlig eller olaglig förstöring
      • Förlorad åtkomst
      • Förlust eller ändring av personuppgifter
      • Obebörigt röjande eller obehörig åtkomst till personuppgifter
  2. Plats för incidenten:
    • Har incidenten inträffat hos LU eller hos ett personuppgiftsbiträde? Vilket?
  3. Påverkade registrerade:
    • Hur många registrerade har påverkats?
    • Hur många uppgifter hos registrerade har påverkats?
  4. Grupper av registrerade:
    • Vilka grupper tillhör de registrerade, till exempel anställda eller studenter?
  5. Typ av personuppgifter:
    • Vilken sorts personuppgifter omfattas av incidenten?
  6. Konsekvenser:
    • Vad kan konsekvenserna bli av incidenten?
    • Hur allvarlig är incidenten med hänsyn till de registrerades integritet?

Exempel på personuppgiftsincidenter: 

En personuppgiftsansvarig sparade en säkerhetskopia av ett arkiv över personuppgifter på ett USB-minne. Minnet stals under ett inbrott och var okrypterat. 

Exempel på förlust eller ändring av personuppgifter

En personuppgiftsansvarig driver en onlinetjänst. Till följd av ett it-angrepp på den tjänsten har enskilda personers personuppgifter olovligen kopierats (exfiltrerats).

En personuppgiftsansvarig driver en marknadsplats på nätet. Marknadsplatsen utsätts för ett it-angrepp och angriparen publicerar användarnamn, lösenord och köphistorik på nätet.

Exempel på obehörigt röjande av eller obehörig åtkomst

Personuppgifter från en stor mängd studenter skickas av misstag till fel sändlista med över 1 000 mottagare.

Ett epostmeddelande i direktmarknadsföringssyfte skickas till mottagare i fälten ”till:” eller ”cc:”. Detta gör det möjligt för alla mottagare att se andra mottagares e-postadress.

Exempel på obehörigt röjande av eller obehörig åtkomst

Ett kort strömavbrott under några minuter på en personuppgiftsansvarigs teletjänstcentral innebär att kunder inte kan ringa till den personuppgiftsansvarige och få tillgång till sina uppgifter. 

Exempel på förlorad åtkomst till de personuppgifter som behandlas 

En personuppgiftsansvarig utsätts för ett angrepp med ransomware vilket leder till att alla uppgifter krypteras. Det finns inga säkerhetskopior och uppgifterna kan inte återställas. Vid en närmare undersökning visar det sig att det enda syftet med angreppet var att kryptera uppgifterna, och att det inte fanns några andra sabotageprogram i systemet.

Exempel på förlorad åtkomst till de personuppgifter som behandlas 

Ett webbhotell som fungerar som personuppgiftsbiträde noterar ett fel i den kod som styr användarauktorisationen. Konsekvensen av bristen innebär att alla användare kan få tillgång till alla andra användares kontouppgifter.

Exempel på obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.

Patientjournaler på ett sjukhus är inte tillgängliga under 30 dagar på grund av ett it-angrepp.

Exempel på förlorad åtkomst till de personuppgifter som behandlas 

Säkerhet för personuppgifter

När det gäller frågor om säkerhet för personuppgifter, så planeras dessa hanteras enligt ett sammanhållet ramverk för informationssäkerhet. Med stöd av ramverket ska informationstyper, till exempel personuppgifter, klassas utifrån konfidentialitet, riktighet och tillgänglighet. Känsliga personuppgifter och extra skyddsvärda personuppgifter kommer få en högre klassning och därmed högre skyddsvärde än övriga personuppgifter. 

Läs mer om informationssäkerhet 

Till dess ramverket implementerats enligt rektorsbeslut lämnas vägledning baserat på de principer om säkerhet som finns i dataskyddsförordningen. Rekommendationer: 

  • Pseudonymisera personuppgifter inom forskning om ändamålet med behandlingen kan uppfyllas på det viset.
  • Säkerställ en lämplig säkerhetsnivå med hänsyn till personuppgifternas känslighet, mängd o dyl. Detta gäller till exempel IT-relaterat skydd som lagringsplats, kryptering och behörighetsstyrning. Vissa av dessa IT-tjänster erbjuds av lokala IT-avdelningar, LDC eller systemägare.  
  • Överväg kryptering och kodning
  • Överväg loggning och uppföljning
  • Se till att ha backup i din lagringslösning

För vidare stöd kring frågor om informationssäkerhet: 
Kontakt: informationssakerhet [at] lu [dot] se (informationssakerhet[at]lu[dot]se) 

Anmälan av personuppgiftsincident

Har något hänt med personuppgifter? Vi hjälper dig!
Kontakta oss på dataskyddsombud [at] lu [dot] se 

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)