Anmäla personuppgiftsincident

När personuppgifter blivit förstörda, gått förlorade eller kommit i orätta händer ska det anmälas.

Incidentrapport

Om något går fel när vi hanterar personuppgifter, ska vi skriva en incidentrapport så snart felet upptäckts, senast inom 72 timmar. Det handlar inte om att peka ut en person utan att identifiera situationen. Vem som gjort felet är helt ointressant och ska inte anges. Vi måste anmäla incidenten så att vi kan lära oss för framtiden och vidta eventuella åtgärder så att det inte händer igen.

Vad är en incident?

Det är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt - i båda fallen är det personuppgiftsincidenter.

Risk för, misstanke om eller inträffad incident?

Varje medarbetare ansvarar för att rapportera risk för, misstanke om eller inträffande av en personuppgiftsincident. Detta gäller även om incidenten inträffat hos någon av Malmös leverantörer som i det här sammanhanget är personuppgiftsbiträden.

Exempel på personuppgiftsincidenter kan vara:

• ett mejl med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare
• ett glömt papper i en skrivare som innehåller uppgifter om namn och sjukdomstillstånd
• stöld av datorer som innehåller personuppgifter någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter
• en dator har fått skadlig kod som gör att någon obehörig skulle kunna komma åt personuppgifter