Denne artikel omhandler kompromittering af personoplysninger, samt hvad du bør gøre, hvis personoplysninger kompromitteres.
Kompromitterring af personoplysninger er et “tab af fortroligheden, integriteten eller tilgængeligheden af personoplysninger”, hvilket fx kan være uvedkommendes adgang til personoplysninger, som du har på din computer (se flere eksempler).
Håndtering af sikkerhedsbrud
For at håndtere et sikkerhedsbrud, så skal du kunne:
- identificere et sikkerhedsbrud fx data mistes, fortrolig mail fejlsendes, pc mistes, virksomheden hackes.
- afklare omfanget af sikkerhedsbruddet, og risikovurdere dette.
- standse sikkerhedsbruddet, hvis muligt, og inddrage databehandlere/samarbejdspartnere i dette.
- informere de berørte og evt. Datatilsynet, og efterleve formkrav for dette.
- dokumentere samtlige sikkerhedsbrud, og ofte anmelde sikkerhedsbruddet via virk.dk.
Hvad er et sikkerhedsbrud?
I skal kunne identificere et sikkerhedsbrud for at kunne standse det. Her er nogle eksempler på sikkerhedsbrud.
- Ændring eller sletning af personoplysninger ved et uheld.
- Der videregives ubevidst eller bevidst personoplysninger om en kunde til uvedkommende.
- Uautoriserede personer får adgang til personoplysninger, hvilket kan være både personer i virksomheden eller udenfor virksomheden.
- Bortkommet bærbar computer, mobiltelefon, mv., som fx giver adgang til virksomhedens kundeoplysninger.
- Brud på virksomhedens server, hvor uvedkommende har fået indsigt i personoplysninger – f.eks. kundedatabasens mailadresser.
Hvilke sikkerhedsbrud skal anmeldes?
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet.
Det er kun, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for de berørte af bruddet, at der ikke skal ske anmeldelse.
Datatilsynet har en forventning om, at klart de fleste sikkerhedsbrud anmeldes.
Hvordan anmeldes sikkerhedsbrud til Datatilsynet?
Der er lavet en anmeldeløsning som skal anvendes ved sikkerhedsbrud(virk.dk).
Via anmeldeløsningen kan du finde en vejledning til at foretage anmeldelsen, og du vil derfor automatisk efterleve formkravene til anmeldelsen.
Når du har anmeldt et sikkerhedsbrud, så opretter myndigheden automatisk en sag på dette, og vil evt. undersøge sikkerhedsbruddet nærmere.
Hvornår skal anmeldelse foretages?
Der er nogle tidsfrister for at anmelde sikkerhedsbrud til Datatilsynet:
- Anmeldelse skal ske hurtigst muligt og indenfor 72 timer efter at sikkerhedsbruddet er opdaget.
- Det kan være vigtigere at give anmeldelsen hurtigt, end at alle fornødne oplysninger om sikkerhedsbruddet gives – disse kan gives trinvist i takt med at oplysningerne identificeres. Dette afhænger af sikkerhedsbruddets karakter.
Hvordan orienteres de berørte?
Du skal orientere de berørte af et sikkerhedsbrud:
- Dette kan ske via telefon, mail, og lignende.
- Hvis det kræver en uforholdsmæssig stor indsats at kontakte de berørte enkeltvis, så kan man anvende annoncer i dagsblade, facebook og lignende.
Dokumentation
- Alle sikkerhedsbrud skal dokumenteres, men ikke alle skal anmeldes til Datatilsynet.
- Du skal dokumentere alle dine sikkerhedsbrud, og kan med fordel lave en dedikeret logbog for sikkerhedsbrud, så al dokumentation om sikkerhedsbrud er samlet.
Retningslinje til sikkerhedsbrud
GDPR compliance kræver, at du kan identificere et sikkerhedsbrud, og opfylde din forpligtelse til at dokumentere og eventuelt anmelde sikkerhedsbruddet.
Du kan bruge denne retningslinje om sikkerhedsbrud til at efterleve denne forpligtigelse i din virksomhed. Retningslinje er kortfattet og operationel, og kan være et godt supplement .