Brud på persondatasikkerheden er ikke længere noget, der kun sker for “de andre”. Alle organisationer – store som små – bliver ramt. Derfor er det afgørende at have en klar og forståelig procedure, som alle relevante medarbejdere kan følge. Denne artikel guider dig gennem de vigtigste trin i håndteringen af sikkerhedshændelser i henhold til GDPR og Datatilsynets seneste vejledning.
Hvad er et brud på persondatasikkerheden?
Et brud på persondatasikkerheden er ifølge GDPR artikel 4, nr. 12, enhver hændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Eksempler:
- En medarbejder sender en e-mail med personoplysninger til den forkerte modtager.
- En server bliver kompromitteret, og uvedkommende får adgang til kundedata.
- En USB-nøgle med personhenførbare oplysninger bliver væk.
Første skridt: Er der tale om et brud?
Det første, du skal gøre, er at vurdere, om hændelsen faktisk udgør et brud. Det kræver, at du forstår, hvilke oplysninger der er involveret, og hvordan de er blevet kompromitteret. Brug gerne en tjekliste eller logskabelon til at dokumentere dine observationer.
Brud på persondatasikkerheden defineres i GDPR artikel 4, nr. 12 som ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.
I Datatilsynets vejledning til håndtering af brud på persondatasikkerheden beskrives brud også som ”En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation der kan være relevant for sikkerheden”.
Skal bruddet anmeldes til Datatilsynet?
Som hovedregel skal brud anmeldes til Datatilsynet inden for 72 timer. Undtagelsen er, hvis det er usandsynligt, at bruddet indebærer en risiko for de berørte personers rettigheder og frihedsrettigheder, jf. GDPR artikel 33.
Anmeldelse af brud på persondatasikkerheden skal ske af den dataansvarlige for de personoplysninger bruddet drejer sig om. Den dataansvarlige har 72 timer efter denne er blevet bekendt med bruddet, til at anmelde det til Datatilsynet. Hvis bruddet konstateres af databehandleren, skal denne oplyse den dataansvarlige om bruddet uden unødig forsinkelse, dvs. hurtigst muligt. Databehandlere skal meddele tilstrækkelige oplysninger om bruddet til den dataansvarlige, så denne kan vurdere om bruddet skal anmeldes.
Udgangspunktet er, at alle brud på persondatasikkerheden skal anmeldes til Datatilsynet. Dette er dog med undtagelse af de sikkerhedshændelser, hvor den dataansvarlige dokumenterer, at det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder. Den dataansvarlige skal straks efter at blive bekendt med bruddet vurdere sandsynligheden for, at bruddet indebærer en risiko for de berørte fysiske personers rettigheder. Dvs. en konkret og reaktiv risikovurdering, specifikt i forhold til konsekvenserne af bruddet på persondatasikkerheden.
Risikovurdering – hvad skal du overveje?
- Hvilken type brud er der tale om?
- Er der tale om følsomme eller fortrolige oplysninger?
- Hvor mange personer er berørt?
- Er det muligt at identificere de berørte?
- Er der tale om sårbare personer (fx børn eller udsatte grupper)?
- Hvor længe har oplysningerne været kompromitteret?
Datatilsynet anbefaler, at risikovurderingen dokumenteres grundigt og opbevares internt – også selvom bruddet ikke anmeldes.
Skal de berørte personer informeres?
Hvis bruddet sandsynligvis indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder, skal de informeres uden unødig forsinkelse.
GDPR har ingen definition af “høj risiko” men det må ved en vurdering af risikoens omfang lægges til grund, at jo mere alvorlige konsekvenser bruddet kan medføre, jo større vil risikoen være. Tilsvarende vil større sandsynlighed for at et brud får konsekvenser indebære en større risiko. I risikovurderingen bør alle de mulige konsekvenser og negative virkninger for den registrerede tages i betragtning (både primære og sekundære konsekvenser). Underretningen skal foretages uanset antallet af berørte registrerede.
Hvis bruddet ikke indebærer en høj risiko, kan underretning undlades. Bevisbyrden for, at der ikke er tale om en høj risiko, påhviler den dataansvarlige. Den dataansvarlige skal således f.eks. i forbindelse med en sag hos Datatilsynet være i stand til at begrunde, hvorfor underretning af den registrerede blev fravalgt.
Undtagelser:
- Oplysningerne var krypteret eller på anden måde beskyttet.
- Risikoen er ikke længere reel.
- Det vil kræve en uforholdsmæssig indsats at underrette alle (fx ved meget store datamængder).
Underretningen skal være klar og forståelig og må ikke gemmes i nyhedsbreve eller pressemeddelelser. Brug direkte kommunikationskanaler som e-mail, brev eller sms.
Sådan anmelder du et brud til Datatilsynet
Følgende proces følges for at anmelde et brud:
- Gå til https://www.virk.dk og brug den elektroniske blanket til anmeldelse.
- Blanketten er dynamisk og tilpasser sig dine svar.
- Du må ikke indsætte personoplysninger om de berørte personer, medmindre der udtrykkeligt bliver bedt om det.
- Læs mere på Datatilsynets hjemmeside under databrud.
Hvad skal anmeldelsen indeholde?
Du vil blive bedt om at:
- Beskrive karakteren af bruddet, herunder hvilke typer oplysninger og hvor mange personer der er berørt.
- Angive kontaktoplysninger på databeskyttelsesrådgiveren eller en anden relevant kontaktperson.
- Beskrive de sandsynlige konsekvenser af bruddet.
- Forklare hvilke foranstaltninger der er truffet eller planlagt for at håndtere bruddet og begrænse skaderne.
Gode råd
- Vedhæft gerne relevante dokumenter, fx risikovurdering eller logudtræk.
- Vær så præcis og konkret som muligt – det hjælper Datatilsynet med at vurdere sagen korrekt.
- Datatilsynet kan efterfølgende bede om yderligere oplysninger, hvis det er nødvendigt.
Hvad skal du gøre for at forhindre gentagelser?
Efter et brud bør organisationen vurdere, om der skal indføres nye sikkerhedsforanstaltninger. Det kan være:
- Teknisk opgradering af systemer
- Ændring af adgangsrettigheder
- Træning af medarbejdere
- Opdatering af interne procedurer
- Gennemgå risikovurderinger og slettefrister
Datatilsynet lægger vægt på, at brud bruges som læring og forbedring – ikke kun som en administrativ byrde.
Dokumentation: Brug en log
En central del af proceduren medfører at føre en log over sikkerhedshændelser. Den bør indeholde:
- Dato og tidspunkt for hændelsen
- Hvilke systemer og data der var involveret
- Vurdering af risiko og konsekvenser
- Beslutning om anmeldelse og underretning
- Iværksatte tiltag og opfølgning
En god log er ikke kun et krav – den er også et vigtigt redskab til læring og forbedring.
Efter GDPR artikel 33, stk. 5 skal den dataansvarlige dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.
Hvem har ansvaret?
Det er den dataansvarlige, der har det overordnede ansvar for at sikre, at proceduren følges. I praksis vil det ofte være en DPO, IT-ansvarlig eller compliance-medarbejder, der håndterer processen.
Konklusion
At håndtere brud på persondatasikkerheden behøver ikke være kompliceret – men det kræver forberedelse. Med en klar procedure, en opdateret log og en forståelse for risikovurdering og anmeldelsespligt, er din organisation godt rustet til at reagere hurtigt og korrekt.
Kilder
GDPR artikel 4, 33 og 34.
Datatilsynets vejledning om håndtering af brud på persondatasikkerheden
