ENGLISH
ITD Website / Medlemsservice / GDPR /

Beredskab ved databrud

Der er mange måder, du kan komme til at bryde databeskyttelsen på - det kan være alt fra uagtsomhed til brand eller hacking.

 

Du skal - allerede før et eventuelt brud på persondataforordningen - have en plan for, hvordan du håndterer et sådant. Der skal blandt andet være procedurer, som opdager brud på persondatasikkerheden, og som sikrer, at din virksomhed er i stand til at dokumentere bruddet og hvis påkrævet rapportere informationer om bruddet til Datatilsynet og evt. til de registrerede.

 

 

Hvad er et databrud?

Et databrud er et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

 

Et brud kan, hvis det ikke håndteres på en passende og rettidig måde, påføre fysiske personer fysisk, materiel eller immateriel skade såsom tab af kontrol over deres personoplysninger eller begrænsning af deres rettigheder, forskelsbehandling identitetstyveri eller -svig finansielle tab uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person.

 

 

Hvordan kan et databrud opstå?

Et brud kan fx ske, hvis dine it-systemer med personoplysninger ikke er tilstrækkelig sikrede, så udefrakommende får adgang til oplysningerne - med andre ord, hvis du bliver hacket. Det kan også være selve håndteringen af personoplysningerne, der fører til et brud, fx hvis du eller dine medarbejdere ubeføjet videregiver eller ændrer personoplysningerne. Et tredje eksempel er, hvis din virksomhed ulovligt eller som følge af et hændeligt uheld (fx brand eller oversvømmelse) i en periode ikke har adgang til eller ender med at tilintetgøre personoplysningerne.

 

 

Hvilke brud kræver anmeldelse?

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Det er således kun, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, at der ikke skal ske anmeldelse.

 

I tilfælde af et brud på persondatasikkerheden skal du som dataansvarlig uden unødig forsinkelse og om muligt inden 72 timer efter opdagelsen eller underretning fra eventuel databehandler foretage en anmeldelse af bruddet til Datatilsynet via Virk.dk.

 

Her vil du blive bedt om, at:

 

  • Beskrive karakteren af bruddet på persondatasikkerheden mv.
  • Angive navn på og kontaktoplysninger
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Beskrive foranstaltninger for at håndtere bruddet og, hvis relevant, foranstaltninger for at
        begrænse dets mulige skadevirkninger.

 

 

Underretning om brud på persondatasikkerheden til registrerede

Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal du som dataansvarlig ikke alene foretage en anmeldelse til Datatilsynet, men også underrette den registrerede om bruddet.

Vurderer du således, at bruddet vil have en risiko for den registrerede, så skal den eller de personer uden unødig forsinkelse underrettes om bruddet.

 

Underretningen til den registrerede skal beskrive karakteren af bruddet på persondatasikkerheden og som minimum:

 

  • Angive kontaktoplysninger, hvor yderligere oplysninger kan indhentes
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Beskrive foranstaltninger for at håndtere bruddet og, hvis relevant, foranstaltninger for at
        begrænse dets mulige skadevirkninger.

 

Underretningen af den registrerede skal ske direkte, fx via mail, sms, brev eller lignende i et klart og forståeligt sprog.

 

Det er ikke nødvendigt at underrette den registrerede, hvis en af følgende betingelser er opfyldt:

 

  • Der er gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.
  • Der er truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke
        længere er reel.
  • Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse
        eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

 

 

Intern dokumentation - krav

Alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger skal dokumenteres.

 

Det er i den forbindelse uden betydning, om bruddet er af en sådan karakter, at det skal anmeldes til Datatilsynet – også i de tilfælde, hvor du som dataansvarlig har vurderet, at bruddet ikke skal anmeldes, skal disse oplysninger opbevares.

 

Dokumentationskravet omfatter følgende:

  • Dato og tidspunkt for bruddet
  • Hvad skete der i forbindelse med bruddet?
  • Hvad er årsagen til bruddet?
  • Hvilke (typer) personoplysninger er omfattet af bruddet?
  • Hvilke konsekvenser har bruddet for de berørte personer?
  • Hvilke afhjælpende foranstaltninger er truffet?
  • Hvorvidt der er sket anmeldelse til Datatilsynet eller ej?

 

 

Beredskabsplan ved databrud

Det er vigtigt, at I som dataansvarlig sikrer jer, at I har en effektiv procedure for at anmelde brud på persondatasikkerheden til Datatilsynet og underrette de registrerede. Når I udarbejder denne plan, bør den indeholde forhold om rapportering og vurdering af hændelsen, ansvarsfordeling, håndtering, evaluering og forbedring. Tænk også over hvilke tekniske og organisatoriske foranstaltninger, der kan indføres for at sikre, at et brud på persondatasikkerheden bliver opdaget.

 

Vær opmærksom på, hvad der skal til for at:

 

  1. I kan rapportere bruddet internt i organisationen (ansvarsfordeling for håndtering af bruddet)
  2. I kan stoppe bruddet
  3. I kan lave en risikovurdering af bruddet
  4. I kan underrette Datatilsynet inden for 72 timer og de registrerede uden unødig forsinkelse
  5. I kan dokumentere brud på persondatasikkerheden

 

Husk at indtænke jeres databehandlere og underdatabehandlere, så procedurerne også tager højde for brud på persondatasikkerheden hos disse parter også.

 

 

Læs mere i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.

 

 

Skabeloner til download

 

ITD: Beredskabsplan_EKSEMPEL

 

ITD: Orienteringsskrivelse til registrerede_EKSEMPEL

 

ITD: Intern registrering af databrud

 

 

 

 

 

ITD gør opmærksom på, at der i skabelonerne er tale om generelle tekster, som skal udfyldes og tilpasses den enkelte virksomhed. Det gøres endvidere opmærksom på, at ovenstående dokumenter ikke kan træde i stedet for individuel rådgivning, og ITD fraskriver sig ethvert ansvar for eventuelle tab herunder eventuelle bøder, der måtte opstå som følge af handlinger, som et ITD-medlem eller tredjemand har foretaget i tillid til informationer givet på ITD’s hjemmeside.

Spørgsmål?

Marianne Frank

Chefkonsulent
+45 7367 4546
+45 2246 9595
E-mail maf@itd.dk