Personuppgiftsincidenter

En personuppgiftsincident är en händelse där någon inom AcadeMedia eller ett personuppgiftsbiträde oavsiktligt förlorat, ändrat eller delat personuppgifter med någon obehörig.

Exempel på personuppgiftsincidenter:

  • Ett mail med integritetskänsliga personuppgifter om en medarbetare skickas till fel person.
  • Ett intrång sker i något av våra system där personuppgifter hanteras.

En incident är inte alltid en allvarlig händelse utan kan vara sådant som lätt kan hända innan vi hunnit ställa om till nya rutiner och krav. Genom att rapportera in incidenter kan vi lära oss av varandra och löpande förbättra våra arbetssätt. Därför publicerar vi i tabellen nedan inrapporterade incidenter och hur de har blivit åtgärdade.

När en personuppgiftsincident har inträffat ska du omgående informera närmaste chef och anmäla incidenten till dataskyddsombudet. Dataskyddsombudet ansvarar för dokumentation och eventuell rapportering till Integritetsskyddsmyndigheten (inom 72 timmar från att incidenten identifierats) samt vid behov, ge information till berörda personer om vad som skett och vilka åtgärder som vidtagits. Ansvarig chef ska tillsammans med Dataskyddsombudet avgöra hur den eller de personer vars personuppgifter var föremål för incidenten, ska informeras.

Hur anmäler jag en personuppgiftsincident?

Som medarbetare ska du anmäla alla former av personuppgiftsincidenter som du får kännedom om till dataskyddsombudet. Det gör du på medarbetarwebben via servicewebbens funktion för anmälan av incidenter.

För att anmäla en incident loggar du in med de uppgifter du har till ditt vanliga konto (oftast samma som du har till din arbetsdator, Schoolsoft, mailkonto eller liknande). Om du saknar eller har glömt dina inloggningsuppgifter, kontakta din närmaste chef.

Om du har frågor kring en personuppgiftsincident, kontakta ditt dataskyddsombud.

Vad händer efter min anmälan?

Vill du veta mer om processen efter att en personuppgiftsincident har anmälts eller hur en personuppgiftsincident hanteras, läs mer här.

Inrapporterade incidenter

Här kan du ta del av rapporterade personuppgiftsincidenter. Vi strävar efter att listan nedan ska vara så komplett som möjligt, men publicerar inte incidenter som kan påverka informationssäkerheten.

Händelse

Åtgärd

Mail skickades till en grupp vårdnadshavare med alla mottagare öppet på till-raden. Skolan informerade mottagarna om incidenten och övergår till att kommunicera med vårdnadshavare via SchoolSoft.
En dator som används av flera personer och bl a rymmer personuppgifter men saknade automatisk låsning/utloggning lämnades obevakad bland obehöriga. Enheten har ställt in automatisk låsning/utloggning i datorn och infört rutinen att användarna alltid ska logga ut efter användning.
Vårdnadshavare fotograferade närvarolista som satt på väggen i förskolans kapprum. Förskolan bad vårdnadshavaren radera fotot och har inte längre närvarolistan på väggen.
Obehöriga personer blev inbjudna till en Google Team Drive. IT spårade vilka personer som bjudits in och vilka som laddat ner dokument. De säkerställde att delade dokument inte sprids vidare.
IT-utrustning stals från en skola, bland annat en extern hårddisk som innehöll en säkerhetskopia av skolans utfasade server. IT såg över serven för att få en bild av vilken typ av dokument som skulle kunna finnas på den externa hårddisken. Skolan informerade de registrerade med hög risk att deras rättigheter eller friheter blivit påverkade. Incidenten anmäldes till Integritetsskyddsmyndigheten.
En medarbetare på en förskola tog bilder på barn med sin privata mobiltelefon och publicerade bilderna på sociala medier. Medarbetarens telefon kontrollerades så att bilderna inte fanns lagrade. Förskolan informerade de registrerade med hög risk, om att deras rättigheter eller friheter blivit påverkade. Incidenten anmäldes till Integritetsskyddsmyndigheten.
Ett par mobiltelefoner stals från en enhet. IT spärrade telefonerna, och Google-administratören på enheten spärrade de Google-konton som använts på telefonerna.
Felaktig registrering av en vårdnadshavares personnummer i ett elevadministrativt system. Det ledde till att obehörig kunde komma åt informationen i systemet. Incidenten rapporterades av systemägaren/personuppgiftsbiträdet. Systemägaren/personuppgiftsbiträdet kontrollerade att den obehöriga ej hade loggat in i systemet.
Ett e-postmeddelande med integritetskänsliga uppgifter om en elev skickades till samtliga anställda inom en verksamhet. Medarbetarna instruerades om hur verksamheten använder molntjänster för att dela dokument som innehåller personuppgifter så att endast behöriga personer får tillgång till dem.
Flera elever fick tillgång till en annan elevs Google-konto. Den berörda eleven informerades om händelsen. Skolan har infört en ny rutin där två medarbetare tillsammans lägger upp Google-konton för att minska risken för fel.
En medarbetare skickade information om hur en enskild elev ska bemötas. Detta skickades till samtliga medarbetare på enheten, istället för till de pedagoger som berördes. Övriga mottagare har ombetts att radera informationen.