Incidenthantering
I GDPR finns krav vid personuppgiftsincidenter. Det innebär att incidenter behöver rapporteras till integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla dessa skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.
Incident
Om en programrelaterad incident inträffar kan det innebära att det blir en personuppgiftsincident. Ett problem i Avista som genererar felaktig eller ingen data, data kategoriseras som en programrelaterad incident. Skulle den felaktiga datan innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.
Incidentprocess
Avista Time har ansvariga som sköter nödvändig samordning, kommunikation och ansvar för att bedömma, reagera på och lära sig av incidenter för att minska risken för upprepning. Beroende på incidentens karaktär och påverkan på Avista så involveras personal som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna: identifiering av incident, konsekvensanalys, åtgärdsprocess samt kommunikation till de som berörs av incidenten. När det uppstår en incident sker en identifiering av vilken typ av incident det är frågan om. I konsekvensanalysen bedöms omfattningen vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. Under åtgärdsmomentet görs en bedömning och prioritering av problemet för att säkerställa en åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident skrivs en rapport innehållande:
-
Vilken typ av incident
-
Vilka kategorier av personer som kan komma att beröras
-
Hur många personer det berör
-
Vilka konsekvenser incidenten kan få
-
Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.
Incident och åtgärder kommuniceras ut till de som är berörda av incidenten. Vid personuppgiftsincident finns anmälan till Datainspektionen som ett delmoment.
Information sker via ett så kallat ”avista meddelande” och/eller via epost till kundernas namngivna kontaktpersoner.