Registrerade och dataombudsmannens byrå måste informeras om personuppgiftsincidenter som orsakas av Exchange-serverns sårbarhet

23.3.2021 10.36 | Publicerad på svenska 26.3.2021 kl. 14.52
Pressmeddelande

Dataombudsmannens byrå påminner om att den personuppgiftsansvarige måste informera tillsynsmyndigheten och de personer som drabbats av en personuppgiftsincident när incidenten sannolikt orsakar en hög risk för de registrerade. Cybersäkerhetscentret varnade om en kritisk sårbarhet i Exchange e-postserver i början av mars.

Dataombudsmannens byrå har under mars månad fått 28 anmälningar om personuppgiftsincidenter relaterade till en kritisk sårbarhet i Microsofts Exchange e-postserver. Antalet förväntas öka ytterligare.

Cybersäkerhetscentret bedömde i början av mars att sårbarheten utnyttjas aktivt och att en organisation som har en sårbar Exchange-server ska utgå från att den har drabbats av dataintrång. Det räcker inte att bara uppdatera Exchange e-postservern för att förhindra angriparen. Läs mer om varningen i Cybersäkerhetscentrets meddelande.

En personuppgiftsincident som orsakar en hög risk ska anmälas

När personuppgifterna blir föremål för en personuppgiftsincident måste den personuppgiftsansvarige bedöma hur allvarlig risken är för de personer som berörs av personuppgiftsincidenten. Vid en personuppgiftsincident förstörs, försvinner eller ändras personuppgifter eller de lämnas ut olovligen eller en aktör som inte har rätt att behandla dem kommer åt uppgifterna.

Dataintrång mot e-postservern orsakar sannolikt en hög risk för de registrerades rättigheter och friheter. En sådan personuppgiftsincident måste meddelas utan oskäligt dröjsmål till de personer som drabbats av incidenten. Närmare bestämmelser om att informera de registrerade finns i artikel 34 i den allmänna dataskyddsförordningen.

En personuppgiftsincident som orsakar en hög risk ska anmälas till tillsynsmyndigheten, dvs. dataombudsmannens byrå. Ansvaret för att anmäla ligger hos den personuppgiftsansvarige. En personuppgiftsincident ska anmälas utan oskäligt dröjsmål och om möjligt inom 72 timmar från att incidenten upptäcktes. En personuppgiftsincident som orsakar en hög risk ska också dokumenteras.

Mer information:

Läs mer om personuppgiftsincidenter på vår webbplats

Meddelande på Microsofts webbplats (på engelska): HAFNIUM targeting Exchange Servers with 0-day exploits