Incidenthantering

I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Incidenthantering

Det finns olika typer av incidenter som kan uppstå. Programrelaterade och säkerhetsincidenter är exempel på incidenter som kan, men behöver inte vara, personuppgiftsincidenter. I GDPR finns det krav på att personuppgiftsincidenter, skarapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna upptäcka och uppfylla skyldigheterna enligt förordningen, är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Incident

Om en programrelaterad incident inträffar kan det innebär att det blir en personuppgiftsincident. Ett problem i Fortnox program som genererar felaktig data eller saknad data kategoriseras som en programrelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Incidentprocess

Fortnox har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delaktiviteter att identifiera incident, utreda incident, vidta åtgärder och utvärdera incidenthantering.


Vid identifieringen av incident innebär det att incidenten upptäcks och rapporteras in att något har inträffat och vad. En utredning påbörjas där en undersökning av omfattning, potentiellt vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. Det görs en bedömning av händelsen och åtgärdsplan skapas och åtgärder vidtas. Vid en personuppgiftsincident genomförs en konsekvensbedömning och rapporteras enligt Integritetsskyddsmyndighetens riktlinjer och mall. I de fall Fortnox är personuppgiftsbiträde kontaktas systemadministratören för en organisation som är personuppgiftsansvarig, för att kunna göra bedömning och rapportering. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en utvärdering över hanteringen av incidenten i syfte att förhindra att problemet uppstår igen. 


Vill du få notiser automatiskt till din mejl om status för Fortnoxprogrammen som det kan leda till en incident eller personuppgiftsincident, kan du anmäla dig till dettapå status.fortnox.se