Publicerad: 4 april 2018

Fråga och svar

Hur fungerar personuppgiftsbiträdets incidentrapporteringsskyldighet?

Fråga: Hur fungerar personuppgiftsbiträdets incidentrapporteringsskyldighet om det är en leverantör som har flera kommuner? Till exempel om det visar sig att det i kommun 1 förekommit att en journalhandling har duplicerat sig själv in i en annan persons akt. Har de då skyldighet att rapportera den incidenten även till andra kommuner som använder samma system?

Svar: Det låter som en oavsiktlig händelse som inneburit att känsliga personuppgifter obehörigen röjts. Ett kriterium för rapportering är att det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. I personuppgiftsbiträdesavtal bör man dock säkerställa att en leverantör rapporterar alla slag av incidenter i enklare form till personuppgiftsansvarig för att bedöma om en rapportering enligt GDPR ska göras.

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot