Du kan bruge denne retningslinje, som et hjælpemiddel til at håndtere sikkerhedsbrud i din virksomhed, hvis der skulle ske et brud på persondatasikkerheden.
Brug af retningslinje
Denne retningslinje kan bruges i tilfælde af et sikkerhedsbrud. Det er en kortfattet retningslinje, som omhandler følgende punkter:
- Tildeling af ansvar.
- Identifikation af sikkerhedsbrud
- Afklar omfang
- Anmeldelse
- Stands ulykken
- Evaluering af hændelse
Punkt 1 og 2 er vigtige at have styr på inden, at et sikkerhedsbrud finder sted.
Med uddannelse fx et GDPR kursus eller awareness træning af dine medarbejdere kan du begrænse risikoen for et sikkerhedsbrud.
Tildeling af ansvar
1) Den GDPR-ansvarlige har ansvaret for at denne procedure efterleves af virksomheden.
Identifikation af et sikkerhedsbrud
2) Et sikkerhedsbrud kan identificeres ved at:
- En medarbejder observerer, at det er sket et sikkerhedsbrud fx ved personlig fejl eller konstaterede fejl i it-system eller lignende.
- En databehandler meddeler, at der er sket et sikkerhedsbrud.
- Ekstern (fx kunde, samarbejdspartner, myndighed, anden person) oplyser, at der er sket et sikkerhedsbrud.
- Dine IT-systemer kan automatisk detektere sikkerhedsbrud fx uvedkommendes adgang til bestemte personoplysninger (hackere).
Afklar omfang af sikkerhedsbrud
3) Karakteren af sikkerhedsbruddet afklares ved at foretage en risikovurdering indeholdende:
- Typen af sikkerhedsbrud, herunder om der er sket tab af oplysninger, brud på fortroligheden eller en integritetskrænkelse
- Oplysningernes art og omfang;
- Risikoen for at registrerede kan identificeres;
- Sikkerhedsbruddets eventuelle konsekvenser for de registrerede;
- Hvorvidt bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn eller særligt udsatte)
- Antallet af berørte personer;
- Hvilke systemer og processer er omfattet?
- Afklaring af om databehandlere, samarbejdspartnere og rådgivere inddrages eller kontaktes.
➡️ Karakteren og alvorligheden af sikkerhedsbruddet bestemmer indsatsen i det efterfølgende.
Anmeld (hvis nødvendigt)
4) Dokumentér og/eller anmeld sikkerhedsbruddet:
- Sikkerhedsbruddet anmeldes hurtigst muligt til Datatilsynet via virk.dk, og senest 72 timer efter at sikkerhedsbruddet første gang er identificeret.
- Sikkerhedsbruddet dokumenteres i en log, som virksomheden bruger til at evaluere samtlige sikkerhedsbrud.
Stands ulykken
5) Samtidig med trin 3 og 4 påbegyndes det at begrænse og udbedre skaden ved sikkerhedsbruddet ved at indføre passende foranstaltninger:
- Samarbejd om nødvendigt med de relevante databehandlere, systemleverandører, samarbejdspartnere, it-rådgiver, advokat. Det er vigtigt at eventuelle underdatabehandlere også inddrages af databehandleren, hvis dette er aktuelt.
- De berørte data bør ikke behandles førend, at det er konstateret, at disse er fuldstændige og korrekte.
6) De berørte af sikkerhedsbruddet skal kontaktes (fx kunder, medarbejdere, andre personer), så de har muligheden for selvstændigt at foretage passende foranstaltninger som følge af sikkerhedsbruddet.
Evaluering af hændelsen
7) Når sikkerhedsbruddet er udbedret, så evalueres hændelsen med henblik på forbedring af virksomhedens it-sikkerhed og processer heromkring.