Hem / Säkerhet & GDPR / Dataintrång: när ska incidenten anmälas till IMY?

Säkerhet & GDPR

Dataintrång: när ska incidenten anmälas till IMY?

Ett dataintrång är sällan tydligt märkt som anmälningspliktigt eller inte. Här är hur ni bedömer om det är en personuppgiftsincident, vad 72-timmarsregeln kräver och vad som alltid ska dokumenteras.

När något gått fel med personuppgifter på hemsidan eller i kundregistret är den första frågan sällan hur allvarligt det är, utan om det är anmälningspliktigt. Den här sidan är ett beslutsstöd: hur ni avgör om en händelse är en personuppgiftsincident, varför 72-timmarsregeln styr tidslinjen, vad som alltid ska dokumenteras och när ni utöver en anmälan till IMY också måste kontakta de registrerade själva.

Är det en personuppgiftsincident?

Enligt IMY är en personuppgiftsincident en säkerhetsincident som leder till att personuppgifter förstörs, går förlorade, ändras, röjs till obehöriga eller blir tillgängliga för någon som inte ska ha åtkomst. Det spelar ingen roll om det har skett med avsikt eller av misstag – ett felskickat mejl med kunduppgifter, en stulen dator med kundregister eller ett intrång hos en leverantör räknas alla som personuppgiftsincidenter så snart personuppgifter är inblandade. Notera att alla säkerhetsincidenter inte är personuppgiftsincidenter: ett kort driftavbrott utan att några uppgifter läckt eller påverkats är normalt inte anmälningspliktigt, men gör ändå bedömningen varje gång innan ni avfärdar händelsen.

72-timmarsregeln: tidslinjen från upptäckt till anmälan

Så snart ni fått vetskap om en möjlig personuppgiftsincident ska ni bedöma risken för de registrerades rättigheter och friheter. Om det inte är osannolikt att incidenten medför en sådan risk ska den anmälas till IMY, och utgångspunkten enligt GDPR artikel 33 är att anmälan ska göras inom 72 timmar från vetskapen om incidenten. Saknar ni all information vid det laget går det bra att komplettera anmälan i efterhand, men lämnar ni in sent eller ofullständigt ska ni motivera varför direkt i anmälan. Bedömer ni istället att risken är osannolik behöver ni inte anmäla, men det beslutet måste också gå att motivera i efterhand.

Kort checklista inför anmälan till IMY

Innan ni öppnar IMY:s e-tjänst är det enklare att redan ha svaren på fem punkter framme, så att anmälan går snabbt även under tidspress:

  • Vilka uppgiftstyper som berörts, till exempel kontaktuppgifter, personnummer eller känsliga uppgifter.
  • Ungefär hur många registrerade som påverkats, eller ett rimligt intervall om ett exakt antal saknas.
  • Er bedömning av sannolik risk för de registrerades rättigheter och friheter, och vad bedömningen grundas på.
  • Vidtagna åtgärder för att begränsa skadan och förhindra att den upprepas.
  • En intern tidslinje: när ni fick vetskap om incidenten och vad som hänt sedan dess, eftersom det är den tidpunkten 72-timmarsfristen räknas från.

Själva anmälan görs i IMY:s e-tjänst för att anmäla personuppgiftsincident, och myndigheten har en egen genomgång av vad som bör dokumenteras oavsett om ni anmäler eller inte.

Dokumentationskrav – oavsett om ni anmäler eller inte

Ett vanligt missförstånd är att dokumentation bara behövs när en incident faktiskt anmäls till IMY. Så är det inte: samtliga personuppgiftsincidenter ska dokumenteras internt, även de ni bedömer inte ska anmälas. Dokumentationen bör beskriva vad som hänt, varför det hänt, vilka personuppgifter och vilka registrerade som berörts, vilka konsekvenser incidenten fått eller riskerar att få, och vilka åtgärder ni vidtagit för att begränsa skadan. Skriv också ner skälen bakom era beslut – till exempel varför ni bedömt att risken är osannolik och att ingen anmälan behövs. Anlitar ni en extern leverantör, till exempel för drift, hosting eller en kunddatabas, gäller samma logik som för biträdesavtal enligt artikel 28: leverantören ska rapportera incidenten till er utan onödigt dröjsmål, men det är alltid ni som personuppgiftsansvariga som ansvarar för anmälan till IMY.

När ska de registrerade informeras?

Utöver anmälan till IMY finns ett separat krav i GDPR artikel 34: bedömer ni att incidenten sannolikt leder till en hög risk för de registrerades rättigheter och friheter ska ni informera de berörda personerna direkt, och det ska ske utan onödigt dröjsmål. Syftet är att ge dem möjlighet att själva skydda sig, till exempel genom att byta lösenord eller bevaka sina konton. Faktorer som brukar väga tungt i bedömningen är hur känsliga uppgifterna är, hur många som drabbats, hur lätt uppgifterna kan användas för att identifiera eller skada en person, och om mottagaren av uppgifterna är okänd eller uppenbart illasinnad.

Polisanmälan och CERT-SE: ett separat spår, inte en ersättning

En anmälan till IMY handlar om er skyldighet enligt GDPR. En polisanmälan handlar istället om att en brottslig gärning kan ha begåtts, till exempel dataintrång. De två spåren ersätter inte varandra: att göra en polisanmälan om dataintrång befriar er inte från att också bedöma om händelsen är en personuppgiftsincident som ska anmälas till IMY, och en anmälan till IMY ersätter inte en polisanmälan om ni misstänker brott. Rör det sig om ett it-relaterat angrepp kan NCSC och CERT-SE ge tekniskt stöd i det akuta skedet, och en frivillig rapportering dit kan vara relevant även när ni saknar en särskild rapporteringsplikt gentemot dem.

Missa inte att 72-timmarsklockan börjar räkna redan när ni får vetskap om en möjlig incident, inte när utredningen är klar. Är ni osäkra på om något ska anmälas: dokumentera bedömningen ändå, och kontakta IMY eller en jurist innan fristen löper ut snarare än att gissa. En polisanmälan vid exempelvis dataintrång ersätter aldrig en anmälan till IMY när GDPR-kraven är uppfyllda.

Vanliga frågor

Måste alla personuppgiftsincidenter anmälas till IMY?

Nej. Ni ska bara anmäla incidenten om det inte är osannolikt att den medför en risk för de registrerades fri- och rättigheter. Bedömer ni att risken är osannolik behöver ni inte anmäla, men beslutet ska motiveras och dokumenteras.

Vad räknas som en personuppgiftsincident?

En säkerhetsincident som leder till att personuppgifter förstörs, går förlorade, ändras eller blir tillgängliga för obehöriga, oavsett om det skett avsiktligt eller av misstag.

Vad händer om vi missar 72-timmarsfristen?

Ni kan fortfarande lämna in anmälan, men ska då motivera förseningen i anmälan till IMY. Går det inte att få fram all information i tid går det bra att komplettera anmälan i efterhand.

När ska vi informera de registrerade själva, utöver anmälan till IMY?

När ni bedömer att incidenten sannolikt leder till en hög risk för de registrerades rättigheter och friheter. Då ska informationen lämnas till dem utan onödigt dröjsmål, som ett komplement till anmälan.

Ersätter en polisanmälan om dataintrång anmälan till IMY?

Nej. En polisanmälan handlar om ett misstänkt brott, medan en anmälan till IMY handlar om GDPR-skyldigheten. De är två separata spår, och den ena ersätter aldrig den andra.