Personuppgiftsincident

Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident, om du misstänker att det har inträffat en incident eller om du ser en risk för att det kan inträffa en incident.

Vad är en personuppgiftsincident?

En personuppgiftsincident är när personuppgifter:

  • medvetet, omedvetet eller olagligt förstörs, förvanskas, försvinner eller ändras
  • när någon som inte har behörig tillgång till personuppgifterna får tillgång/åtkomst till dessa
  • när personuppgifterna på ett obehörigt sätt röjs (obehörigt röjande)

Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att en individs rättigheter kränks. Några exempel är diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera individer har blivit förstörda, gått förlorade eller kommit i orätta händer, oavsett om det skett oavsiktligt eller med avsikt.

En personuppgiftsincident kan inträffa när någon kan ha kommit åt eller tagit del av uppgifter denne inte har behörighet till, till exempel

  • när någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter,
  • när ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare,
  • när det finns ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd, eller
  • när en dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.

Vad ska du göra vid en personuppgiftsincident?

Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör)

  • vet att det inträffat en incident
  • misstänker att det har inträffat en incident
  • ser en risk för att det kan inträffa en incident.

Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad. Vissa typer av incidenter ska Luleå tekniska universitet anmäla till Datainspektionen.

Medarbetaren/personuppgiftsbiträdet rapporterar incidenten via e-post till registrator@ltu.se, sedan gör en central grupp en bedömning av incidentens allvarlighetsgrad. Därefter rapporteras eventuellt incidenten till Datainspektionen, vilket ska ske inom 72 timmar från det att den upptäckts.

Kontakt

Johan Lundberg Karlsson, Universitetsjurist

Telefon: 0920-491054
Organisation: Universitetskansliet, Verksamhetsstöd