Checklista for anmalan av personuppgiftsincidenter for grundare och compliance leads

Anmalan av personuppgiftsincidenter fungerar bast nar teamet snabbt kan ga fran osakerhet till ett dokumenterat beslut. Checklistan ar praktisk: bekrafta om personuppgifter ar inblandade, oppna en bedomningspost, tilldela beslutsagare, bedom risk for personer, besluta om tillsynsmyndighet eller registrerade ska informeras, bevara bevis och folj remediation till avslut.

Enligt artikel 33 GDPR ska personuppgiftsansvarig anmala till behorig tillsynsmyndighet utan onodigt drojsmal och, nar det ar mojligt, inom 72 timmar efter att ha fatt kannedom om en personuppgiftsincident, om det inte ar osannolikt att incidenten leder till risk for personers rattigheter och friheter. Artikel 34 lagger till information till registrerade nar incidenten sannolikt leder till hog risk. Personuppgiftsbitrade ska meddela ansvarig utan onodigt drojsmal.

Vad checklistan ska forhindra

Manga misslyckanden borjar fore sjalva anmalningsbeslutet. Teamet ser en sakerhetshandelse men vet inte om personuppgifter var inblandade. Security begransar incidenten, men privacy och legal har inte tillrackliga fakta. Customer success hor om incidenten innan avtalskrav har kartlagts. Ledningen fragar om 72-timmarsfonstret, men ingen vet nar organisationen fick kannedom.

Checklistan kopplar incident response, privacy-bedomning, kundskyldigheter, vendor management och audit-bevis.

Checklistan

Anvand den for varje sakerhets- eller dataincident som kan berora personuppgifter i produktion, supportverktyg, loggar, analytics, CRM, backups, AI-funktioner, leverantorsplattformar, HR-system eller kunddataset.

1. Oppna bedomningsposten

Vanta inte tills det ar klart om incidenten ar anmalningspliktig. Posten ar platsen dar beslutet tas. Dokumentera titel, referens, upptacktstid, kanal, forsta granskare, mojlig tidpunkt for kannedom, berorda system, initial begransning, incident owner, privacy owner, legal reviewer, security owner, kommunikationsowner, status, oppna fakta och nasta review.

2. Bekrafta om personuppgifter ingar

GDPR-definitionen omfattar forstoring, forlust, andring, obehorigt rojande eller obehorig atkomst till personuppgifter. Den omfattar konfidentialitet, integritet och tillganglighet. Fraga om identifierade eller identifierbara personer berors, om anvandare, anstallda, leads, administratörer, loggar, bilagor, exporter, backups, analytics eller AI-prompter ingar, och om data exponerats, andrats, forlorats eller blivit otillganglig.

3. Identifiera foretagets roll

Ett SaaS-foretag kan vara personuppgiftsansvarig for anstalldas, prospects, billing-, analytics- eller kontodata och bitrade for kundinnehall. For varje dataset, dokumentera roll, process eller kund, avtal eller DPA, tidsfrist for avisering och vem som beslutar.

4. Samla minimifakta for artikel 33

Samla kategorier och ungefar antal personer, kategorier och antal poster, datatyper, tidsfonster, atkomst, nedladdning, rojande, andring, forlust eller otillganglighet, containment, sannolika konsekvenser och atgarder som vidtagits eller foreslas.

5. Bedom risk och hog risk separat

Artikel 33 och artikel 34 har olika trosklar. Bedom kanslighet, identifierbarhet, allvar, sannolikhet for missbruk, credentials, betaldata, halsodata, sarskilda kategorier, barn, kryptering, varaktighet, omfattning och bevis pa faktisk atkomst.

6. Besluta vem som ska informeras

Skilj pa tillsynsmyndighet, registrerade, kunder, leverantorer, forsakrare, intern ledning och board. For varje publik, dokumentera skyldighet, grund, deadline, owner, godkannare, innehall och uppfoljning. For kunder, kontrollera DPA och avtal.

7. Forbered bevispaketet

Spara tidslinje, loggar, tickets, skarmbilder, tekniska noteringar, scope-analys, rollbedomning, riskbedomning, beslut, godkannanden, kopior av meddelanden, remediation, root cause och kontrollforbattringar.

8. Stang loopen

Anmalan avslutar inte incidenten. Bekrafta att konfigurationer, behorigheter, kod eller leverantorsproblem har atgardats, att kunder fatt uppdateringar, att information till registrerade har bedomts igen, att bevis bevaras och att produkt-, security-, support- och vendorprocesser har uppdaterats.

FAQ

Vad behover team forsta?

Att anmalan av personuppgiftsincidenter ar ett tidskansligt arbetsflode med security-fakta, privacy-bedomning, juridiska trosklar, kundskyldigheter, bevis och remediation.

Nar galler det for SaaS-team?

Nar en sakerhetsincident paverkar personuppgifter genom forstoring, forlust, andring, obehorigt rojande, obehorig atkomst eller otillganglighet.

Vad ska dokumenteras forst?

Upptacktstid, mojlig tidpunkt for kannedom, berorda system och data, foretagets roll, containment, owners, oppna fakta och nasta review.

Kallor

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 9/2022 on personal data breach notification under GDPR.
• Information Commissioner's Office, Personal data breaches - a guide.