Personuppgiftsincidenter
I enlighet med dataskyddsförordningen (GDPR) ska personuppgiftsincidenter vid KI anmälas och hanteras.
Sådan anmälan görs till IT-säkerhetsteamet genom att fylla i formuläret för incidenter för vidare analys och hantering.
Vad är en personuppgiftsincident?
Definition av personuppgiftsincident: ”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”
Exempel på personuppgiftsincident
Nedan ges några exempel på personuppgiftsincidenter:
- Personuppgifter har skickats till en obehörig mottagare.
- Utskrifter innehållande personuppgifter hamnar hos fel person.
- Personuppgifter lämnas ut efter förfrågan utan att en begäran om utlämning av offentlig handling har registrerats.
- Anställda har fortsatt tillgång/behörigheter till personuppgifter genom en projektyta när efter att denne har slutat. Exempelvis en före detta forskare som har tillgång till ett forskningsprojekts mappar/data efter att denna slutat, alternativt att en person har tillgång till en projektyta till ett före detta projekt.
- Dator, extern hårddisk eller USB som innehåller personuppgifter har förlorats eller stulits.
- Någon har ändrat personuppgifter utan tillstånd.
- Personuppgifter är inte tillgängliga för den som behöver dem, vilket potentiellt skulle kunna leda till negativa effekter för de registrerade personerna.
- Det har upptäcks att ett dataintrång där personuppgifter konfidentialitet, riktighet eller tillgänglighet kan ha äventyrats.