Anmälan av informationssäkerhets- och personuppgiftsincidenter på KI

Karolinska Institutet (KI) är skyldigt att skyndsamt rapportera inträffade incidenter. Enligt GDPR gäller t.ex. att en personuppgiftsincident ska ha rapporterats senast 72 timmar efter att den upptäckts.

En incident rörande IT, information och/eller personuppgifter kan se ut på flera olika sätt. Följande är några exempel på vanliga typer av incidenter som ska rapporteras.

Informationsläckage genom obehörigt röjande av eller obehörig åtkomst till information

  • om en obehörig mottagare får ta del av känslig information genom ett felaktigt utskick av mejl/brev/sms,
  • om brister i ett tekniskt system gjort att stora mängder personuppgifter röjts till obehöriga personer (inom eller utanför KI).

Informationsförlust orsakad via exempelvis stöld, förlust, förstöring eller ändring, t.ex.

  • om information har gått förlorad, t.ex. om en dator/telefon/USB-minne/surfplatta/ dokument eller annan utrustning med information stulits, tappats bort​ eller förstörts  

Informationsförvanskning, såsom

  • om information har ändrats av någon behörig eller obehörig vilket har äventyrat informationens korrekthet.

IT-angrepp, som exempelvis

  • virus/skadlig programvara,
  • tillgänglighetsattacker (t.ex. överbelastningsattacker),
  • intrångsförsök eller intrång (”hacking”),
  • försök att inhämta information eller komma över pengar, t.ex. genom phishing eller social manipulation (”social engineering”),
  • fysiskt angrepp genom obehörig tillgång till IT-utrustning eller information,
  • kapat eller misstanke om kapat KI-konto.

1. Kontaktuppgifter

1.2. Verksamhetsområde

2. Om incidenten

2.1. Är något IT-system eller IT-tjänst inblandat?
2.4. Vilken typ av information omfattar incidenten? Markera de alternativ ni anser stämmer.
2.5. Tillhör information någon annan organisation än KI (t.ex. om KI behandlar uppgifterna för annan som s.k. PUB)?
2.6. Vad har hänt vid incidenten? Markera de alternativ som ni anser passar bäst (definitioner längst upp på sidan).
* Exempel på skyddsåtgärder: Krypterad hårdvara (t. ex. dator, minneskort eller hårddisk) eller information, återkallat behörigheter/rättigheter, återläst säkerhetskopior, etc.
2.8. Innefattar incidenten personuppgifter?

3. Vid personuppgiftsincidenter

3.2. Om ni inte vet exakt antal kan ni uppskatta antalet och fylla i något av de angivna intervallen. Markera endast ett alternativ.
3.4. Om ni inte vet exakt antal kan ni uppskatta antalet och fylla i något av de angivna intervallen. Markera endast ett alternativ.
3.5. Vilken grupp/ vilka grupper tillhör de registrerade vars personuppgifter påverkats?
3.6. Vilken/ vilka sorters personuppgifter har incidenten påverkat? Markera alla alternativ som stämmer.
* Som personuppgift räknas information som kan knytas till en levande person. Det kan t.ex. vara namn, adress eller personnummer – men även foton på personer klassas som personuppgifter.
** Som känsliga personuppgifter räknas:

Ras eller etniskt ursprung
Politiska åsikter
Religiös eller filosofisk övertygelse
Medlemskap i fackförening
Genetiska uppgifter
Biometriska uppgifter
Hälsa
Sexualliv eller sexuell läggning
3.7. Har incidenten påverkat personer utanför Sverige?