Esbjerg
Esbjerg Brygge 28
6700 Esbjerg
Se vores åbningstider
København
H. C. Andersens Blvd. 45
1553 København V
Se vores åbningstider
Herning
Dalgasgade 21, 2
7400 Herning
Se vores åbningstider
Skjern
Bredgade 67
6900 Skjern
Se vores åbningstider
1. jul. 2020

GDPR: Sikkerhedsbrud

Brud på datasikkerheden skal anmeldes til Datatilsynet. For at der kan ske anmeldelse, er det derfor vigtigt, at du som dataansvarlig er klar over, hvornår noget er et brud på datasikkerheden. Hvis du som dataansvarlig skal blive opmærksom på et muligt brud på datasikkerheden, er det ligeledes nødvendigt, at du underviser dine medarbejdere i emnet.

Hvad er et brud på datasikkerheden?

Ifølge persondataforordningen, er et brud på datasikkerheden en begivenhed, som medfører hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Det kan eksempelvis være:

  • Uautoriserede personer får adgang til personoplysninger
  • Personoplysninger enten slettes eller ændres ved en fejl
  • Brud på sikkerheden på en server, så uvedkommende har fået adgang til eks. kreditkortoplysninger
  • En medarbejder hos den dataansvarlige kommer enten bevidst eller ubevidst til at videresende oplysninger til uvedkommende. Dette kan eksempelvis ske ved indtastning af forkert mail-adresse
  • Manglende kryptering på hjemmeside, som giver uvedkommende adgang til personoplysninger
  • Tyveri eller tab af computere, telefoner, USB ‘er eller lignende, som ikke er beskyttet med koder og kryptering

Anmeldelse til Datatilsynet

Alle brud på datasikkerheden, hvor der er en risiko for de berørte personers rettigheder og friheder, skal anmeldes til Datatilsynet. Det betyder, at man som dataansvarlig i tilfælde af et brud på datasikkerheden skal foretage en risikovurdering, der kan belyse hvilken risiko, der er for de berørte personer.

Når et konkret brud på datasikkerheden skal vurderes, bør følgende forhold inddrages:

  • Hvilket slags sikkerhedsbrud der er forekommet
  • Personoplysningernes type og mængde
  • Risikoen for at personer kan identificeres
  • Hvilke konsekvenser bruddet på datasikkerheden kan have for de berørte personer, med særligt fokus på børn og andre udsatte personer.
  • Antallet af berørte personer

Hvis bruddet alene er internt, eksempelvis at en medarbejder uberettiget har fået adgang til nogle personoplysninger, kan man efter en konkret vurdering komme frem til, at der ikke er nogen risiko. Hvis det omvendt er en udefrakommende, som har haft adgang til oplysningerne, vil der være en større risiko for den berørte persons rettigheder og frihedsrettigheder.

Anmeldelsen til Datatilsynet skal ske hurtigst muligt, og som udgangspunkt inden for 72 timer efter man bliver klar over, at der har været en brud på datasikkerheden. I nogle tilfælde kan der gå længere tid, før det er muligt at foretage en anmeldelse. Det kan være i situationer, hvor det tager lang tid at undersøge bruddet, eller hvis det indgår i en politiundersøgelse. Hvis det ikke har været muligt at anmelde bruddet inden for 72 timer, skal anmeldelsen til Datatilsynet indeholde en begrundelse for, hvorfor fristen blev overskredet.

Underretning af de berørte personer

I en situation, hvor et brud på datasikkerheden indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal de berørte personer også underrettes. Det er den dataansvarlige, som har ansvaret for, at denne underretning bliver foretaget. Det er ikke i persondataforordningen defineret præcist, hvornår et brud indebærer denne høje risiko. Til brug for vurderingen kan man dog se på hvilke, mulige konsekvenser bruddet kan have. Hvis konsekvenserne er relativt alvorlige, og sandsynligheden for at bruddet vil få konsekvenser er stor, vil det indebære en høj risiko for den eller de berørte personer.

Hvis risikoen er høj, skal der ske underretning af de berørte personer uden unødig forsinkelse. Underretningen af de berørte personer behøver altså ikke at ske i sammenhæng med anmeldelsen til Datatilsynet, men kan godt ske tidligere, eller umiddelbart herefter.

Formålet med underretningen er, at de berørte personer selv skal have mulighed for at foretage foranstaltninger, som kan minimere risikoen for, at bruddet på sikkerheden får konsekvenser. Hvis bruddet består af, at passwords er blevet offentliggjort, skal de berørte personer have mulighed for at ændre deres password. Det er normalt at bruge samme password på mange forskellige steder, hvorfor det er vigtigt, at de berørte personer hurtigt kan ændre deres password alle andre steder.

Meddelelsen til de berørte personer skal så vidt muligt ske direkte, f.eks. via mail, sms eller brev. Det vil normalt ikke være nok at underrette om sikkerhedsbruddet i en pressemeddelelse.

Har du brug for rådgivning om GDPR mv., så kontakt Kirk Larsen & Ascanius

For at sikre at sikkerhedsbrud bliver anmeldt korrekt, og at berørte personer underrettes rettidigt, er det nødvendigt at få fastlagt nogle procedurer på forhånd. Har du brug for hjælp til udarbejdelse af sådanne procedurer, eller har du brug for hjælp til anmeldelse og underretning af et aktuelt brud på datasikkerheden, så kontakt Maria Helbo Holck, som er vores ekspert inden for persondataret.