Alle artikler

Sikkerhedsbrud (retningslinje)

Du kan bruge denne retningslinje, som et hjælpemiddel til at håndtere sikkerhedsbrud i din virksomhed, hvis der skulle ske et brud på persondatasikkerheden. 

I kan anvende denne procedure i virksomheden ved et sikkerhedsbrud, og næsten uden at foretage specifikke ændringer.

Indhold

Tildeling af ansvar

1) Den GDPR-ansvarlige har ansvaret for at denne procedure efterleves af virksomheden.

Identifikation af et sikkerhedsbrud

2) Et sikkerhedsbrud kan identificeres ved at:

  • En intern medarbejder observerer, at det er sket et sikkerhedsbrud fx ved personlig fejl eller konstaterede fejl i it-system eller lignende.
  • En databehandler meddeler, at der er sket et sikkerhedsbrud.
  • Ekstern (fx kunde, samarbejdspartner, myndighed, anden person) oplyser, at der er sket et sikkerhedsbrud.

Afklar omfang af sikkerhedsbrud

3) Karakteren af sikkerhedsbruddet afklares ved at foretage en risikovurdering indeholdende:

  • Typen af sikkerhedsbrud, herunder om der er sket tab af oplysninger, brud på fortroligheden eller en integritetskrænkelse
  • Oplysningernes art og omfang;
  • Risikoen for at registrerede kan identificeres;
  • Sikkerhedsbruddets eventuelle konsekvenser for de registrerede;
  • Hvorvidt bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn eller særligt udsatte)
  • Antallet af berørte personer;
  • Hvilke systemer og processer er omfattet?
  • Afklaring af om databehandlere, samarbejdspartnere og rådgivere inddrages eller kontaktes.

➡️ Karakteren og alvorligheden af sikkerhedsbruddet bestemmer indsatsen i det efterfølgende.

Anmeld (hvis nødvendigt)

4) Dokumentér og/eller anmeld sikkerhedsbruddet:

  • Sikkerhedsbruddet anmeldes hurtigst muligt til Datatilsynet via virk.dk, og senest 72 timer efter at sikkerhedsbruddet første gang er identificeret.
  • Sikkerhedsbruddet dokumenteres i en log, som virksomheden bruger til at evaluere samtlige sikkerhedsbrud.

Stands ulykken

5) Samtidig med trin 3 og 4 påbegyndes det at begrænse og udbedre skaden ved sikkerhedsbruddet ved at indføre passende foranstaltninger:

  • Samarbejd om nødvendigt med de relevante databehandlere, systemleverandører, samarbejdspartnere, it-rådgiver, advokat. Det er vigtigt at eventuelle underdatabehandlere også inddrages af databehandleren, hvis dette er aktuelt.
  • De berørte data bør ikke behandles førend, at det er konstateret, at disse er fuldstændige og korrekte.

 

6) De berørte af sikkerhedsbruddet skal kontaktes (fx kunder, medarbejdere, andre personer), så de har muligheden for selvstændigt at foretage passende foranstaltninger som følge af sikkerhedsbruddet.

Evaluering af hændelsen

7) Når sikkerhedsbruddet er udbedret, så evalueres hændelsen med henblik på forbedring af virksomhedens it-sikkerhed og processer heromkring. 

GDPR - så alle kan være med

Kurser med GDPR.DK

Aarhus

GDPR kursus d. 6. oktober.

Et praktisk kursus, som ruster dig til at arbejde med GDPR i din arbejdsdag.

Et kursus, hvor vi starter fra begyndelsen.

1-dags kursus i Aarhus målrettet ikke-eksperter.
Se kursus

København

GDPR kursus d. 24. oktober.

Et praktisk kursus, som ruster dig til at arbejde med GDPR i din arbejdsdag.

Et kursus, hvor vi starter fra begyndelsen.

1-dags kursus i København målrettet ikke-eksperter.
Se kursus