Europeiska dataskyddsstyrelsen, EDPB, har antagit nya riktlinjer om personuppgiftsincidenter som innehåller konkreta exempel på incidenter som har inkommit till tillsynsmyndigheterna.
I riktlinjerna – som ska fungera vägledande – finns 17 exempel på olika typer av personuppgiftsincidenter.
Till varje exempel finns konkreta råd till den personuppgiftsansvariges förebyggande arbete och riskbedömning samt vilka åtgärder och skyldigheter som följer av respektive exempel.
Exemplen är baserade på incidenter som har inkommit till tillsynsmyndigheterna, riskbedömningar i samband med dessa samt eventuell rapporteringsskyldighet. I dokumentet finns även förslag på vilka åtgärder som bör vidtas för att minska riskerna vid en incident.
Symptom på brister i organisationen
EDPB konstaterar att personuppgiftsincidenter utgör problem i sig själv, men att de kan också utgöra symptom på brister i organisationens tekniska och organisatoriska åtgärder som ska skydda personuppgifterna. Innan en personuppgiftsansvarig helt kan bedöma risken som följer av en incident behöver den ansvarige ta reda på roten till det som orsakade incidenten så att den kan åtgärdas och att framtida incidenter kan undvikas.
Den nya vägledningen är än så länge ett utkast och föremål för synpunkter från allmänheten. Den kan alltså komma att ändras när synpunkterna har beaktats.
Den nya vägledningen är tänkt att komplettera EDPB:s befintliga vägledning, Guidelines on Personal data breach notification under Regulation 2016/679.