Anmälan av informationssäkerhets- och personuppgiftsincidenter på KI
Karolinska Institutet (KI) är skyldigt att skyndsamt rapportera inträffade incidenter. Enligt GDPR gäller t.ex. att en personuppgiftsincident ska ha rapporterats senast 72 timmar efter att den upptäckts.
En incident rörande IT, information och/eller personuppgifter kan se ut på flera olika sätt. Följande är några exempel på vanliga typer av incidenter som ska rapporteras.
Informationsläckage genom obehörigt röjande av eller obehörig åtkomst till information
- om en obehörig mottagare får ta del av känslig information genom ett felaktigt utskick av mejl/brev/sms,
- om brister i ett tekniskt system gjort att stora mängder personuppgifter röjts till obehöriga personer (inom eller utanför KI).
Informationsförlust orsakad via exempelvis stöld, förlust, förstöring eller ändring, t.ex.
- om information har gått förlorad, t.ex. om en dator/telefon/USB-minne/surfplatta/ dokument eller annan utrustning med information stulits, tappats bort eller förstörts
Informationsförvanskning, såsom
- om information har ändrats av någon behörig eller obehörig vilket har äventyrat informationens korrekthet.
IT-angrepp, som exempelvis
- virus/skadlig programvara,
- tillgänglighetsattacker (t.ex. överbelastningsattacker),
- intrångsförsök eller intrång (”hacking”),
- försök att inhämta information eller komma över pengar, t.ex. genom phishing eller social manipulation (”social engineering”),
- fysiskt angrepp genom obehörig tillgång till IT-utrustning eller information,
- kapat eller misstanke om kapat KI-konto.