Lösenordsläckor inom företag och organisationer – Så hanteras de enligt svensk lag, GDPR och EU-förordningar
Inledning
Lösenordsläckor kan få allvarliga konsekvenser för företag och organisationer, inte minst när det gäller den personliga integriteten för de berörda individerna. I Sverige finns det lagar och regler som ska följas vid en sådan händelse, och dessa är kopplade till både nationella och internationella regelverk.
I denna informationstext går vi igenom hur svenska företag och organisationer ska agera vid lösenordsläckor, med fokus på Dataskyddsförordningen (GDPR) och EU-förordningar.
Informera Datainspektionen
Enligt Artikel 33 i GDPR är det obligatoriskt för företag och organisationer att rapportera en personuppgiftsincident till Datainspektionen (eller motsvarande tillsynsmyndighet i annat EU-land) inom 72 timmar efter att incidenten upptäckts. Detta inkluderar alltså lösenordsläckor. Om rapporteringen inte sker inom den tidsfristen kan företaget eller organisationen riskera att få böter.
Källa: Dataskyddsförordningen (GDPR), Artikel 33: https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Informera de berörda individerna
Om lösenordsläckan innebär en hög risk för de registrerades rättigheter och friheter, måste företaget eller organisationen informera de drabbade personerna utan onödigt dröjsmål, enligt Artikel 34 i GDPR. Informationen ska inkludera en beskrivning av incidenten, vilka åtgärder som vidtagits och hur de drabbade kan skydda sig ytterligare.
Källa: Dataskyddsförordningen (GDPR), Artikel 34: https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Dokumentation och utredning
Företaget eller organisationen ska enligt GDPR Artikel 33 och 34 dokumentera och utreda händelsen för att förhindra att den inträffar igen. Detta innebär att man ska analysera orsakerna bakom läckan och vidta åtgärder för att förbättra säkerheten kring lösenord och personuppgifter.
Följ nationella och branschspecifika regler
Utöver GDPR kan det finnas nationella lagar och branschspecifika regler som företag och organisationer måste följa vid en lösenordsläcka. I Sverige gäller exempelvis dataskyddslagen (2018:218) som kompletterar GDPR. Det är viktigt att sätta sig in i vilka regler som gäller för just din verksamhet och att följa dem noggrant.
Källa: Dataskyddslagen (2018:218): https://www.riksdagen.se/sv