72-timmarsregeln: Hur man rapporterar ett dataintrång enligt GDPR utan att utlösa ytterligare påföljder

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter. Enligt artiklarna 33 och 34 i GDPR kan hur din organisation reagerar på en incident få lika stora konsekvenser som incidenten i sig. Sen eller otillräcklig anmälan behandlas som en separat överträdelse, som ofta leder till en egen sanktion.

Förstå tidslinjen på 72 timmar

Enligt artikel 33.1 ska den personuppgiftsansvarige underrätta den behöriga tillsynsmyndigheten utan onödigt dröjsmål och, om det är möjligt, senast 72 timmar efter att ha fått kännedom om en personuppgiftsincident. Klockan börjar inte ticka när incidenten inträffar, utan när organisationen får kännedom om den. Denna skillnad är viktig: en överträdelse som inträffade för flera veckor sedan men som upptäcktes först idag utlöser 72-timmarsskyldigheten från det ögonblick då den upptäcktes.

Om anmälan inte görs inom 72 timmar måste den personuppgiftsansvarige ange skälen till förseningen. Tillsynsmyndigheterna har visat begränsad tolerans för ogrundade förseningar. Den nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens) har utdömt böter specifikt för sen anmälan och betraktar det som en separat överträdelse enligt artikel 83.4 a.

Vad utgör ett rapporterbart intrång?

Inte alla säkerhetsincidenter kräver anmälan till tillsynsmyndigheten. I artikel 33.1 kvalificeras skyldigheten: anmälan krävs om det inte är osannolikt att överträdelsen leder till en risk för fysiska personers rättigheter och friheter. Denna riskbaserade tröskel innebär att du måste bedöma varje incident individuellt.

EDPB:s riktlinjer 01/2021 om exempel på anmälan av personuppgiftsincidenter innehåller en användbar taxonomi för scenarier som ska rapporteras och scenarier som inte ska rapporteras:

Sannolikt rapporteringsskyldig:

• Ransomware-attack krypterar patientjournaler på ett sjukhus
• Obehörig åtkomst till en kunddatabas som innehåller finansiell information
• Felriktat e-postmeddelande med anställdas löneuppgifter skickat till en extern mottagare
• Stulen bärbar dator med okrypterade personuppgifter
• Exfiltration av personuppgifter av en illasinnad insider

Sannolikt inte rapporteringsbar:

• Borttappad eller stulen krypterad bärbar dator där krypteringsnyckeln inte har äventyrats
• Kort strömavbrott som orsakar tillfällig otillgänglighet av data utan permanent förlust
• Internt feladresserat e-postmeddelande där mottagaren är bunden av sekretess och bekräftar radering

Om du är osäker, gör ett misstag genom att anmäla. Tillsynsmyndigheter har mycket större förståelse för organisationer som anmäler ett intrång som visar sig vara en lågriskincident än för dem som underlåter att anmäla ett intrång som senare visar sig vara betydande.

Krav på innehåll i anmälan

I artikel 33.3 anges vilka uppgifter som minst måste ingå i en anmälan till tillsynsmyndigheten:

1. En beskrivning av överträdelsens art, inklusive, om möjligt, de kategorier och det ungefärliga antal registrerade som berörs samt de kategorier och det ungefärliga antal personuppgiftsregister som berörs.
2. Namn och kontaktuppgifter för dataskyddsombudet eller annan kontaktpunkt.
3. En beskrivning av de sannolika konsekvenserna av överträdelsen.
4. En beskrivning av de åtgärder som vidtagits eller föreslagits för att åtgärda överträdelsen, inklusive, om så är lämpligt, åtgärder för att mildra dess eventuella negativa effekter.

Om det inte är möjligt att lämna all information samtidigt får informationen lämnas stegvis (artikel 33.4). Många tillsynsmyndigheter godtar en första anmälan som följs av kompletterande rapporter allteftersom utredningen fortskrider.

När måste registrerade underrättas?

I artikel 34 införs en ytterligare skyldighet att underrätta berörda personer direkt om överträdelsen sannolikt kommer att medföra en hög risk för deras rättigheter och friheter. Tröskeln är högre än för underrättelse till tillsynsmyndigheten: hög risk snarare än enbart risk.

Kommunikationen till de registrerade måste ske på ett klart och tydligt språk och måste beskriva överträdelsens art, dataskyddsombudets kontaktuppgifter, de sannolika konsekvenserna och de åtgärder som vidtagits för att hantera överträdelsen. Direkt underrättelse krävs inte i följande fall:

• Den personuppgiftsansvarige har vidtagit lämpliga tekniska åtgärder (t.ex. kryptering) som gör att uppgifterna inte kan läsas av obehöriga personer.
• Den personuppgiftsansvarige har vidtagit efterföljande åtgärder som säkerställer att den höga risken inte längre sannolikt kommer att uppstå.
• Individuell underrättelse skulle innebära en oproportionerligt stor ansträngning, i vilket fall ett offentligt meddelande eller liknande åtgärd är tillåten.

Bygg upp din förmåga att hantera intrång

Effektiva åtgärder vid intrång är inget man improviserar fram. Det kräver förberedelser, dokumentation och regelbunden testning. Följande ramverk kommer att hjälpa din organisation att reagera effektivt när ett intrång inträffar:

Steg 1: Upptäckt och eskalering

Implementera tekniska kontroller (intrångsdetektering, loggövervakning, endpoint-detektering) och upprätta tydliga eskaleringsvägar. Alla anställda ska veta hur de ska rapportera ett misstänkt intrång internt. Utse ett team för hantering av intrång med representanter från IT, juridik, kommunikation och högsta ledningen.

Steg 2: Inledande bedömning

Inom några timmar efter upptäckten ska du bedöma intrångets art och omfattning. Fastställ vilka uppgifter som påverkades, hur många personer som är inblandade, om intrånget pågår och den sannolika effekten. Denna bedömning ligger till grund för dina beslut om anmälan.

Steg 3: Inneslutning

Vidta omedelbara åtgärder för att begränsa intrånget. Det kan handla om att isolera drabbade system, återkalla komprometterade inloggningsuppgifter, blockera skadliga IP-adresser eller aktivera backupsystem. Dokumentera alla begränsningsåtgärder och tidpunkten för dem.

Steg 4: Anmälan

Utifrån din riskbedömning ska du förbereda och skicka in din anmälan till tillsynsmyndigheten inom 72 timmar. Om överträdelsen utlöser artikel 34 ska du parallellt förbereda kommunikation med de registrerade. Använd förberedda mallar för att påskynda denna process.

Steg 5: Undersökning och sanering

Genomför en grundlig analys av grundorsaken. Identifiera den sårbarhet som utnyttjades, de kontroller som misslyckades och de åtgärder som behövs för att förhindra upprepning. Dokumentera resultaten och genomför åtgärder omgående.

Steg 6: Granskning efter incidenten

Efter den omedelbara insatsen ska du genomföra en formell genomgång av händelsen med alla intressenter. Uppdatera rutinerna för hantering av överträdelser utifrån de lärdomar som dragits. Skicka in din slutrapport till tillsynsmyndigheten inom föreskriven tidsram.

Vanliga misstag att undvika

• Underlåtenhet att betrakta en säkerhetsincident som en personuppgiftsincident
• Väntar på att utredningen ska slutföras innan du underrättar tillsynsmyndigheten
• Ofullständig eller felaktig information i den första anmälan
• underlåter att dokumentera överträdelser som bedöms ha låg risk (artikel 33.5 kräver ett överträdelseregister för alla överträdelser)
• Underskattning av risken för de registrerade för att undvika anmälningsskyldighet
• Underlåtenhet att underrätta registrerade när tröskelvärdet för hög risk enligt artikel 34 är uppfyllt

Anmälningsfristen på 72 timmar är snäv, men organisationer som förbereder sig i förväg (med dokumenterade rutiner, mallar för anmälningar och ett utbildat team för hantering av överträdelser) kan uppfylla denna skyldighet på ett konsekvent sätt. Kostnaden för att förbereda sig är försumbar jämfört med de påföljder och den skada på anseendet som följer av en dåligt hanterad incidenthantering.