Brud på datasikkerheden skal anmeldes til Datatilsynet. For at der kan ske anmeldelse, er det derfor vigtigt, at du som dataansvarlig er klar over, hvornår noget er et brud på datasikkerheden. Hvis du som dataansvarlig skal blive opmærksom på et muligt brud på datasikkerheden, er det ligeledes nødvendigt, at du underviser dine medarbejdere i emnet.
Ifølge persondataforordningen, er et brud på datasikkerheden en begivenhed, som medfører hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Det kan eksempelvis være:
Alle brud på datasikkerheden, hvor der er en risiko for de berørte personers rettigheder og friheder, skal anmeldes til Datatilsynet. Det betyder, at man som dataansvarlig i tilfælde af et brud på datasikkerheden skal foretage en risikovurdering, der kan belyse hvilken risiko, der er for de berørte personer.
Når et konkret brud på datasikkerheden skal vurderes, bør følgende forhold inddrages:
Hvis bruddet alene er internt, eksempelvis at en medarbejder uberettiget har fået adgang til nogle personoplysninger, kan man efter en konkret vurdering komme frem til, at der ikke er nogen risiko. Hvis det omvendt er en udefrakommende, som har haft adgang til oplysningerne, vil der være en større risiko for den berørte persons rettigheder og frihedsrettigheder.
Anmeldelsen til Datatilsynet skal ske hurtigst muligt, og som udgangspunkt inden for 72 timer efter man bliver klar over, at der har været en brud på datasikkerheden. I nogle tilfælde kan der gå længere tid, før det er muligt at foretage en anmeldelse. Det kan være i situationer, hvor det tager lang tid at undersøge bruddet, eller hvis det indgår i en politiundersøgelse. Hvis det ikke har været muligt at anmelde bruddet inden for 72 timer, skal anmeldelsen til Datatilsynet indeholde en begrundelse for, hvorfor fristen blev overskredet.
I en situation, hvor et brud på datasikkerheden indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal de berørte personer også underrettes. Det er den dataansvarlige, som har ansvaret for, at denne underretning bliver foretaget. Det er ikke i persondataforordningen defineret præcist, hvornår et brud indebærer denne høje risiko. Til brug for vurderingen kan man dog se på hvilke, mulige konsekvenser bruddet kan have. Hvis konsekvenserne er relativt alvorlige, og sandsynligheden for at bruddet vil få konsekvenser er stor, vil det indebære en høj risiko for den eller de berørte personer.
Hvis risikoen er høj, skal der ske underretning af de berørte personer uden unødig forsinkelse. Underretningen af de berørte personer behøver altså ikke at ske i sammenhæng med anmeldelsen til Datatilsynet, men kan godt ske tidligere, eller umiddelbart herefter.
Formålet med underretningen er, at de berørte personer selv skal have mulighed for at foretage foranstaltninger, som kan minimere risikoen for, at bruddet på sikkerheden får konsekvenser. Hvis bruddet består af, at passwords er blevet offentliggjort, skal de berørte personer have mulighed for at ændre deres password. Det er normalt at bruge samme password på mange forskellige steder, hvorfor det er vigtigt, at de berørte personer hurtigt kan ændre deres password alle andre steder.
Meddelelsen til de berørte personer skal så vidt muligt ske direkte, f.eks. via mail, sms eller brev. Det vil normalt ikke være nok at underrette om sikkerhedsbruddet i en pressemeddelelse.
For at sikre at sikkerhedsbrud bliver anmeldt korrekt, og at berørte personer underrettes rettidigt, er det nødvendigt at få fastlagt nogle procedurer på forhånd. Har du brug for hjælp til udarbejdelse af sådanne procedurer, eller har du brug for hjælp til anmeldelse og underretning af et aktuelt brud på datasikkerheden, så er du velkommen til at kontakte os.