IT- och personuppgiftsincidenter

Det är viktigt att incidenter rapporteras. Det som för den enskilde kan uppfattas som en isolerad händelse kan i själva verket vara en serie av händelser som pekar på ett visst mönster. Så här rapporterar du IT-och personuppgiftsincidenter.

Om rapportering

Varför rapportera?

Den 4 april 2016 trädde Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap i kraft . Detta innebär att IT-incidenter som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller i tjänster som myndigheten levererar till en annan organisation ska rapporteras till Myndigheten för samhällsskydd och beredskap (MSB).

Syftet med IT-incidentrapporteringen är att stödja arbetet med samhällets informationssäkerhet. De rapporter som skickas till MSB förenklar ett samordnat agerande för att avvärja eller begränsa konsekvenserna av allvarliga IT-incidenter. De bidrar också till en samlad lägesbild, samtidigt som man skapar förutsättningar för att vidta rätt skyddsåtgärder och utvecklar förmågan att förebygga, upptäcka och hantera IT-incidenter inom sin organisation.

Vissa personuppgiftsincidenter måste  också anmälas till Datainspektionen. Personuppgiftsincidenten ska anmälas inom 72 timmar efter det att incidenten har upptäckts. Anmälan gör det möjligt för Datainspektionen att bland annat bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter.

När ska man rapportera?

Rapportering ska ske inom ett dygn efter att incidenten har inträffat. Då har rapportören incidenten i färskt minne och det ger ansvarig gruppering möjlighet att agera och informera vid behov. 

Vem som utför eller ansvarar för eventuella åtgärder beror på vad som hänt och kan innebära att olika personer och funktioner blir inblandade. Det kan vara den närmsta chefen, högre chef, MIUN:s incidenthantereringsgrupp, HR-avdelningen, Infra-avdelningen, osv.

Vad ska man rapportera?

Ska jag rapportera Spam?

Nej.  Notera att spam, dvs mail som innehåller reklam eller liknande, inte räknas som hot mot IT-säkerheten och ska därför inte rapporteras. Spam ignorerar man och kastar.

IT incidenter som ska rapporteras kan vara:

  1. störning i mjuk- eller hårdvara,
  2. störning i driftmiljö, 
  3. informationsförlust eller informationsläckage,
  4. informationsförvanskning,
  5. hindrad tillgång till information,
  6. säkerhetsbrist i en produkt, 
  7. angrepp, 
  8. handhavandefel,
  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller
  10. annan plötslig oförutsedd händelse som lett till skada.

 

Vad är en personuppgiftsincident och vad ska rapporteras?

En personuppgiftsincident är en säkerhetshändelse som har påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. En personuppgiftsincident har inträffat om personuppgifter har

  • förstörts, oavsiktligt eller olagligt
  • gått förlorade eller ändrats
  • röjts till någon obehörig.

Obs! Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter. Exempel;

  • någon obehörig part har fått tillgång till personuppgifterna, till exempel om någon har skickat personuppgifter till mottagare som inte skulle ha uppgifterna.
  • datorer som innehåller personuppgifter har förlorats eller stulits.
  • någon har ändrat personuppgifter utan tillstånd.
  • personuppgifterna är inte tillgängliga för den som behöver dem, och det leder till negativa effekter för de registrerade personerna.

Om du är osäker är det bäst att rapportera!

Andra incidenter (som har andra rapporteringsrutiner) är till exempel

  • Fall (skada)
  • Inbrott
  • Stöld
  • Hot

Se fliken: Var ska jag rapportera andra saker?

 

Får jag svar på min anmälan?

Om du står som anmälare för ärendet i Nilex får du mail vid statusändring av ärendet. Vi har dock inte möjlighet att löpande återkoppla alla anmälningar. Om du ställer en tydlig fråga eller om vi behöver återkoppla för vidare samtal och utredning så kommer du att kontaktas.