Anmäl personuppgiftsincidenter

Alla anställda som får kännedom om en befarad personuppgiftsincident har skyldighet att rapportera denna. Befarade personuppgiftsincidenter rapporteras till abuse@umu.se.

En personuppgiftsincident är en säkerhetsincident som rör personuppgifter. Det kan exempelvis vara att personuppgifter har blivit förstörda eller ändrade, gått förlorade eller kommit i orätta händer.

En personuppgiftsincident kan alltså vara en hackerattack där exempelvis alla uppgifter från ett system blir stulna. Det kan också vara något så enkelt som att någon tappar bort en mobiltelefon, att intern personal som inte har behörighet att se personuppgifter av misstag får tillgång till sådana uppgifter eller att ett mail innehållande personuppgifter skickas till fel person.

En personuppgiftsincident kan innebära risker för den vars personuppgifter det handlar om. Riskerna kan handla om till exempel identitetsstöld, bedrägeri, finansiell förlust, diskriminering eller skadlig ryktesspridning.

Om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten inom 72 timmar från att den upptäckts. Om det finns en hög risk att privatpersoners fri- och rättigheter kan påverkas till följd av en personuppgiftsincident är den ansvariga verksamheten skyldig att informera de registrerade om att incidenten inträffat så att dessa kan vidta egna åtgärder, som att byta lösenord.

Det spelar ingen roll om incidenten har skett oavsiktligt eller med avsikt, det är en personuppgiftsincident oavsett.

Vid Umeå universitet finns en fastställd ordning för hur befarade
personuppgiftsincidenter ska hanteras. Umeå universitet är skyldig att dokumentera alla befarande personuppgiftsincidenter och anmäla vissa typer av dessa till Integritetsskyddsmyndigheten. Anmälan av personuppgiftsincidenter till Integritetsskyddsmyndigheten görs av universitetsdirektören efter samråd med dataskyddsombudet.

Chatarina Wiklund
2021-04-20