Om du drabbas av en personuppgiftsincident

På denna sida hittar du anvisningar om hur du ska förfara om du drabbats av en personuppgiftsincident.

Granska först vilka uppgifter om dig som eventuellt kommit i en utomståendes händer. Agera snabbt i synnerhet då personuppgiftsincidenten är förknippad med en risk för missbruk av
  • ett bank- eller kreditkort
  • ett pass eller ett ID-kort
  • en viktig kod eller ett lösenord.
Ta del av våra anvisningar om de åtgärder som ska vidtas vid olika situationer där personuppgifter försvunnit eller utsatts för datasäkerhetskränkning. Om personuppgiftsincidenten gäller en organisation som behandlar dina personuppgifter, be dem om hjälp och ytterligare information. Du kan vid behov också begära råd av dataombudsmannens byrå.

Hur vet du att du drabbats av en personuppgiftsincident

En personuppgiftsincident kan vara svår att upptäcka själv innan uppgifterna missbrukats. En organisation som behandlar personuppgifter som gäller dig ska dock berätta till dig, om den drabbats av en personuppgiftsincident, som sannolikt innebär en hög risk för dina rättigheter och dina friheter. Den drabbade organisationen och i sista hand dataombudsmannen, till vilken organisationen ska ge information om en personuppgiftsincident, bedömer om risken är hög.

Organisationen ska ge dig information om en inträffad personuppgiftsincident till exempel i följande fall:

  • En nätbutik är föremål för ett angrepp och angriparen publicerar användarnamn, lösenord och inköpshistorik på nätet.
  • Patientuppgifter som innehas av ett sjukhus är ur bruk i 30 timmar på grund av en nätattack.
  • Känsliga personuppgifter som gäller dig sänds till en sändlista.

I så fall ska organisationen ge dig information om

  • hurudan personuppgiftsincident som ägt rum
  • vad som sannolikt följer av personuppgiftsincidenten
  • vad organisationen gjort eller kommer att göra för ärendet och för att lindra de skadliga konsekvenserna
  • varifrån du kan få närmare information om ärendet.

I så fall kan du också själv bedöma ärendet och vidta nödvändiga försiktighetsåtgärder, till exempel byta lösenord till dina konton eller spärra ett kreditkort.

En organisation behöver inte ge dig information om en personuppgiftsincident om

  • organisationen skyddat personuppgifterna på behörigt sätt (till exempel har personuppgifterna krypterats på så sätt att en utomstående inte kan dra nytta av dem)
  • organisationen har säkerställt att en hög risk sannolikt inte längre blir verklighet.
  • det skulle kräva orimligt besvär. Om organisationen inte till exempel vet vilka de registrerade är, kan den använda sig av offentlig delgivning.

I Finland ska personuppgiftsincidenter anmälas till dataombudsmannens byrå, om incidenten kan innebära en risk för en enskilds rättigheter och friheter. Dataombudsmannens byrå bedömer också när risken för en personuppgiftsincident är hög. Då kan dataombudsmannen förordna att organisationen ska ge information om en personuppgiftsincident till de personer som omfattas av den.

Enskilda personer, företag och organisationer kan därtill också anmäla personuppgiftsincidenter som de utsatts för, såsom fiske av uppgifter, till Kommunikationsverket Traficoms Cybersäkerhetscenter. Utifrån kontakterna utreder Cybersäkerhetscentret personuppgiftsincidenter och hot om sådana som riktat sig mot webbtjänster, kommunikationstjänster och mervärdestjänster, samlar information dessa händelser och ger information om datasäkerhetsärenden. Cybersäkerhetscentret ger också hjälp i datasäkerhetsärenden. Utöver allmän datasäkerhetsinformation kan hjälpen vara av teknisk karaktär.

Vad göra om du drabbas av en personuppgiftsincident?

Eftersom personuppgiftsincidenter är olika, varierar också anvisningarna för dessa.

Om du upptäcker en personuppgiftsincident eller om en organisation underrättar dig om en personuppgiftsincident som gäller dig, fundera på hurudan skada personuppgiftsincidenten i fråga kan orsaka och fatta beslut om nödvändiga åtgärder utifrån detta.

Om personuppgiftsincidenten gäller en organisation som behandlar dina personuppgifter, be dem om hjälp och ytterligare information. Du kan vid behov också begära råd av dataombudsmannens byrå.

Anvisningar för situationer där personuppgifter försvinner eller en personuppgiftsincident inträffar

Minska sannolikheten för missbruk av dina personuppgifter

Du kan minska sannolikheten för att personuppgifter försvinner, missbrukas och utsätts för en personuppgiftsincident genom att vara omsorgsfull i behandlingen av egna personuppgifter.

  • Svara inte på opålitliga e-postmeddelanden, i vilka du ombeds att överlämna koder, lösenord, bank-, kreditkorts- eller personuppgifter. Till exempel polisen, banken, Skatteförvaltningen, Microsoft eller Google begär inte sådana uppgifter per telefon eller e-post.
  • Använd olika lösenord i olika tjänster.
  • Ha inte lösenord eller andra koder med dig i onödan. Beakta till exempel anvisningar av banken om förvaring av användarkoder och nyckeltal.
  • Använd så pålitliga och säkra nätbutiker som möjligt. Konkurrens- och konsumentverkets webbplats innehåller information om metoder för att undvika nätbedrägerier.
  • Förvara papper med personuppgifter omsorgsfullt.
  • Förvara dina identitetsbevis och kort omsorgsfullt.
  • Töm enheter med personuppgifter då du tar dem ur drift, säljer dem eller vidareöverlåter enheterna.
  • Rensa regelbundet historikuppgifter och kakor från din webbläsare.