Rapportering vid personuppgiftsincidenter

Relevanta dokument
Instruktion för åtgärdsplan vid personuppgiftsincidenter

Handläggning av personuppgiftsincidenter

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Information om behandling av personuppgifter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Anmälda personuppgiftsincidenter 2018

Handlingsplan för persondataskydd

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

GDPR-POLICY. Svenska Ponnytravförbundet - SPTF

Västra Götalandsregionens arbete kring dataskyddsförordningen (GDPR)

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

STOCKHOLMS FOTBOLLFÖRBUND

Vä gl ed n i n g för n ä m n d er s och styr e l se r s a r b e te

Dataskyddsförordningen

GDPR och hantering av personuppgifter

Information om dataskyddsförordningen

Information till personuppgiftsansvarig om dataskyddsombud

INFORMATIONSSÄKERHET OCH DATASKYDD

Anmälan av personuppgiftsincident

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

VEMS ANSVAR ÄR DET ATT DATASKYDDSFÖRORDNINGEN EFTERLEVS? Copyright Forcepoint. 2

Riktlinjer för hantering av personuppgifter

RIKTLINJE FÖR RAPPORTERING AV AVVIKELSE inom vård- och omsorgsförvaltningen

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Anmälan av personuppgiftsincident

GDPR NYA DATASKYDDSFÖRORDNINGEN

Västra Götal an dsregi on en s regi on gem en sam m a styran de doku m en t

GDPR. Dataskyddsförordningen

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Dataskyddsförordningen GDPR - General Data Protection Regulation

Anvisningar för behandling av personuppgifter

Dataskyddsförordningen

DSF (GDPR) Ny lag om personuppgifter

Personuppgiftslagstiftningen förstärks och ersätts med nya regler från och med 25 maj 2018

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Svenska Vorstehklubben

Rutin vid kryptering av e post i Outlook

Olingo Consulting & Advokatfirman Vinge

Riktlinjer för hantering av personuppgifter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Riktlinjer för personuppgiftshantering

Den nya dataskyddsförordningen - GDPR

DATASKYDDSFÖRORDNINGEN. Copyright Qnister AB 1

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Dataskyddsförordningen för prefekter och administrativa chefer

GDPR definition och hur utbildningen berör(t)s av förordningen

Dataskyddsförordningen

Integritetspolicy Behandling av personuppgifter

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsförordningen (DSF/GDPR)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

DATASKYDD (GDPR) Del 1. Del 2. Dataskyddssamordnare. Del 4. Om dokumentet. Organisationens högsta ledning Kommunledning eller regionledning

Integritetspolicy Monitor ERP System AB

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Säkerhetspolicy rev. 0.1

Ändringar i delegationsordning för utbildningsnämnden

Ett eller flera dataskyddsombud?

Personuppgiftsbiträdesavtal

Lex Sarah-rapport: är en rapport om ett missförhållande eller en påtaglig risk för ett missförhållande enligt 14 kap. 3 SoL respektive 24 b LSS.

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Övergripande rutin för lokal avvikelsebehandling

Policy för behandling av personuppgifter

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

WHITE PAPER. Dataskyddsförordningen

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Behandling av personuppgifter GDPR. Ny dataskyddsförordning

Riktlinjer vid användning av e-post i

Dataskyddsombud, organisation och finansiering

Dataskyddsförordningen

RIKTLINJE FÖR UTREDNING AV AVVIKELSE inom vård- och omsorgsförvaltningen

Gymnasiekonferenser 2017 Stockholm, Malmö, Göteborg Aktuella frågor om antagning och skolekonomi

Personuppgiftsbiträdesavtal

GDPR UTBILDNINGSDAG SKKF

Bilaga 1a Personuppgiftsbiträdesavtal

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

I rutinen används begreppet missförhållande genomgående i texten men avser både missförhållande och risk för missförhållande.

GDPR nya dataskyddsförordningen

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

vid Geritrim vård- och rehabiliteringsenhet

Integritetspolicy Rinkaby Rör

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Dokumentnamn: Avvikelsehantering Berörd verksamhet: Välfärd Upprättad av: Godkänd av: Giltigt från: Medicinsk ansvarig sjuksköterska (MAS)

Doknr. i Barium Dokumentserie Giltigt fr o m Version su/med Administration - Ledningssystem för patientsäkerhet - neonatal

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

EU:s allmänna dataskyddsförordning:

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Öfn 127 Redovisning av statistik från kansliet

Transkript:

Beslutad av: Eva Arrdal, direktör på Koncernkontorets stab för utförarstyrning och samordning Beslutsdatum: 2018-05-25, rev 2018-06-01 Diarienummer: RS-2018-02985 Giltighet: från 2018-05-25 Rutin Rapportering vid personuppgiftsincidenter Giltighet: Förvaltningar och bolag i VGR tillämpar denna rutin Dokumentet ersätter: Ny rutin kopplad till krav enligt Dataskyddsförordningen (GDPR) Innehållsansvar: Enhet säkerhet och beredskap (ESB) på Koncernkontorets stab för utförarstyrning och samordning

2 Innehåll Sammanfattning... 3 1. Allmänt... 3 2. PUA ska utse en incidentansvarig... 3 3. Rapportering av personuppgiftsincidenter... 3 4. När ska de registrerade informeras?... 4 5. Anmälan till Datainspektionen... 4 6. Process för hantering av personuppgiftsincidenter... 5 7. Beredning och beslut... 5

3 Sammanfattning Från den 25 maj 2018 gäller Dataskyddförordningen dvs EU-förordningen General Data Protection Regulation (GDPR) som gemensam lagstiftning för alla länder i EU. Med GDPR följer en skyldighet att rapportera personuppgiftsincidenter där Personuppgiftsansvarig (PUA) har ett ansvar att utreda och anmäla personuppgiftsincidenter enligt särskild ordning till Datainspektionen. Den här rutinen kompletterar ordinarie avvikelsehanteringsrutin som finns inom VGR, och ger vägledning när det gäller personuppgiftsincidenter. Rutinen ska användas av alla myndigheter och bolag inom VGR vid händelse av personuppgiftsincidenter. 1. Allmänt GDPR innebär ett förstärkt integritetsskydd för den enskildes rätt till sina personuppgifter, och en nyhet som följer med GDPR är att det är extra viktigt för PUA att anmäla personuppgiftsincidenter skyndsamt. 2. PUA ska utse en incidentansvarig PUA ska utse en incidentansvarig som ska säkerställa att varje personuppgiftsincident omhändertas på rätt sätt. Alla uppgifter eller misstankar om oönskade eller oplanerade händelser som rör personuppgifter ska inte anmälas till Datainspektionen. Det är därför väsentligt att incidentansvarig gör en kortare intern undersökning för att kunna avgöra om det verkligen rör sig om en personuppgiftsincident. 3. Rapportering av personuppgiftsincidenter Rapportering av personuppgiftsincidenter ska ske i MedControl. För de bolag som inte använder sig av MedControl ska motsvarande handläggning av personuppgiftsincidenter säkerställas i det avvikelsehanteringssystem som man använder sig av. För användning av MedControl vid personuppgiftsincidenter så hänvisas till följande instruktion: Lathund för handläggning av personuppgiftsincident

4 4. När ska de registrerade informeras? Enligt förordningen ska de registrerade direkt och utan onödigt dröjsmål informeras om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Bedömningen ska göras utifrån både allvarligheten av den potentiella eller faktiska påverkan på personer som ett resultat av en personuppgiftsincident kan ha och utifrån sannolikheten för att detta inträffar. Information till de registrerade i anledning av en personuppgiftsincident behöver inte alltid göras. Den bedömningen får ske från fall till fall. Följande frågeställningar är en utgångspunkt för bedömningen. Hur allvarliga kan konsekvenserna bli? Hur sannolikt är det att enskilda personer drabbas? Om personuppgiftsincidenten är allvarlig är risken högre. Om sannolikheten för konsekvenser är stor är risken också högre. När risken är hög måste de personer som har drabbats informeras, särskilt om det finns ett behov av att mildra en omedelbar risk för skador. En av huvudorsakerna är att du ska kunna hjälpa dem att vidta åtgärder för att skydda sig mot effekterna av en personuppgiftsincident. På Datainspektionens hemsida, När ska vi informera de registrerade? finns exempel på olika fall av personuppgiftsincidenter. Exempelsamlingen kommer att uppdateras löpande. 5. Anmälan till Datainspektionen Den incidentansvarige ska skyndsamt och om så är möjligt inte senare än 72 timmar efter att ha fått vetskap om en personuppgiftsincident göra anmälan till Datainspektionen. Om anmälan inte kan göras inom denna tid ska anmälan åtföljas av en motivering till förseningen. Om det är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter, behöver ingen anmälan göras. Vid en anmälan så ska de blanketter som finns hos Datainspektionen användas och postas som rekommenderat brev till följande adress: Datainspektionen Box 8114 104 20 Stockholm

5 6. Process för hantering av personuppgiftsincidenter Följande är en illustration av hanteringsordning steg för steg vid en personuppgiftsincident. 1. Misstanke om Personuppgiftsincident uppstår 2. Rapportera incident i VGR:s avvikelsehanterings system 3. Ärendeansvarig undersöker om ärendet är PUincident 4. Notifiering till myndighetsbrevlådan skickas 5. Incidentansvarig utreder incidenten och sammanställer nödvändig information Ska incidenten anmälas till DI? Ja 6. Incidentansvarig anmäler till Datainspektionen 7. Incidentansvarig bedömmer om information ska skickas till de registrerade Avslutad VGR:s avvikelsehanteringssystem Avslutad 1. Misstanke om personuppgiftsincident uppstår. 2. Personuppgiftsincident rapporteras i MedControl av medarbetare som upptäckt incidenten. 3. Ärendeansvarig (dvs linjechef eller annan utsedd medarbetare) bedömer typ av händelse som kan vara: a) Personuppgifter som blivit förstörda. b) Personuppgifter som gått förlorade på annat sätt. c) Personuppgifter som kommit i orätta händer. 4. Notifikation går till den officiella myndighetsbrevlådan vilket innebär att: a) Person tar emot och skickar ärendet vidare till incidentansvarig inom respektive myndighet. 5. Incidentansvarig undersöker och utreder incidenten. a) Undersöker omfattning, art och konsekvenser av incidenten. b) Bedömer om anmälan till Datainspektionen krävs. 6. Incidentansvarig anmäler incidenten till Datainspektionen inom 72 timmar om möjligt. 7. Eventuell rapport och information till de registrerade dvs de personer som drabbats av personuppgiftsincidenten. 7. Beredning och beslut Rutinen har arbetats fram av arbetsgruppen för GDPR och förankrats i styrgrupp för GDPR. I utformning av rutinen har IT-specialist Ekaterina Zuckermann, VGR IT, MedControl-specialisten Goran Barasin, koncernavdelning ärendesamordning och kansli, arkivchef Charlotta Tengbert, SU, regionutvecklare Glenn Grimhage, ESB och processledare för informationssäkerhet Jan S Svensson, ESB, medverkat. Rutinen har beslutats av Eva Arrdal, direktör på Koncernkontoret, koncernstab utförarstyrning och samordning efter föredragning av Maria Fast, enhetschef för ESB.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss