Denne artikel omhandler kompromittering af personoplysninger, samt hvad du bør gøre, hvis personoplysninger kompromitteres.
Kompromitterring af personoplysninger er et “tab af fortroligheden, integriteten eller tilgængeligheden af personoplysninger”, hvilket fx kan være uvedkommendes adgang til personoplysninger, som du har på din computer (se flere eksempler).
Håndtering af sikkerhedsbrud
For at håndtere et sikkerhedsbrud, så skal du kunne:
- identificere et sikkerhedsbrud fx data mistes, fortrolig mail fejlsendes, pc mistes, virksomheden hackes.
- afklare omfanget af sikkerhedsbruddet, og risikovurdere dette.
- standse sikkerhedsbruddet, hvis muligt, og inddrage databehandlere/samarbejdspartnere i dette.
- informere de berørte og evt. Datatilsynet, og efterleve formkrav for dette.
- dokumentere samtlige sikkerhedsbrud, og ofte anmelde sikkerhedsbruddet via virk.dk.
Hvad er et sikkerhedsbrud?
I skal kunne identificere et sikkerhedsbrud for at kunne standse det. Her er nogle eksempler på sikkerhedsbrud.
- Ændring eller sletning af personoplysninger ved et uheld.
- Der videregives ubevidst eller bevidst personoplysninger om en kunde til uvedkommende.
- Uautoriserede personer får adgang til personoplysninger, hvilket kan være både personer i virksomheden eller udenfor virksomheden.
- Bortkommet bærbar computer, mobiltelefon, mv., som fx giver adgang til virksomhedens kundeoplysninger.
- Brud på virksomhedens server, hvor uvedkommende har fået indsigt i personoplysninger – f.eks. kundedatabasens mailadresser.
Hvilke sikkerhedsbrud skal anmeldes?
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet.
Det er kun, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for de berørte af bruddet, at der ikke skal ske anmeldelse.
Datatilsynet har en forventning om, at klart de fleste sikkerhedsbrud anmeldes.