Et datainnbrudd eller en hendelse som involverer personopplysninger kan skje uavhengig av hvor gode organisasjonens prosedyrer og prosesser er. Det er svært viktig å jobbe både bevisst og proaktivt, og å ha en plan for hvordan man skal håndtere en hendelse så raskt og effektivt som mulig.

Baser på anbefalingene fra det svenske Datatilsynet (IMY), har vi utviklet en sjekkliste for å veilede organisasjonen din i forberedelse til et datainnbrudd og hvordan rapportere det.

Rapportering av datainnbrudd

  • Du har prosedyrer på plass for å vurdere risikoene for enkeltpersoner som er berørt av et datainnbrudd.
  • Du vet hvilken myndighet som er ansvarlig for din virksomhet, dvs. om det er IMY eller tilsynsmyndigheten i et EU-land annet enn Sverige.
  • Du har prosedyrer for å varsle IMY dersom et datainnbrudd har skjedd. Prosedyren sier at du må rapportere bruddet innen 72 timer etter at det er oppdaget.
  • Du rapporterer selv om du ikke har alle detaljene ennå. Du vet hvilken informasjon du må gi til Datatilsynet når et datainnbrudd har skjedd. Dette betyr ofte at du må samarbeide med for eksempel din cloud-tjenesteleverandør i tilfeller der informasjonen er lagret i skyen.
  • Du har prosedyrer for å informere registrerte når et datainnbrudd sannsynligvis vil medføre høy risiko for deres rettigheter og friheter.
  • Du vet at i slike tilfeller må du umiddelbart informere de registrerte.
  • Du vet hvilken informasjon om datainnbruddet du må gi til de registrerte, og at du bør gi råd for å hjelpe dem å beskytte seg mot konsekvensene.
  • Du dokumenterer alle datainnbrudd, også de som ikke trenger å rapporteres til IMY.

Hvor mange kunne du krysse av på listen?

Last ned vår komplette guide til personopplysninger i skyen for å lære mer om håndtering av personopplysninger.