Når den nye databeskyttelsesforordning får virkning fra d. 25. maj 2018, skal virksomheder være meget opmærksomme på deres forpligtelser til lave anmeldelser til Datatilsynet, når de oplever databrud.
Et databrud er defineret som et ”brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.” Det forklarer fortæller advokat og persondataspecialist Karsten Holt fra Advodan.
Eksempler på databrud
Et databrud kan eksempelvis ske i forbindelse med et hackerangreb, fejl i it-systemer eller indbrud i virksomheden. Det kan også ske ved helt almindelige menneskelige fejl såsom at sende en mail, der indeholder personoplysninger til en forkert modtager, eller man mister en bærbar PC, smartphone eller anden mobil enhed, der indeholder eller giver adgang til personoplysninger.
”En anmeldelse til Datatilsynet skal ske uden unødig forsinkelse og senest 72 timer efter, at virksomheden er blevet bekendt med bruddet. Men inden anmeldelsen skal virksomheden selvfølge vurdere hvilke data, det drejer sig om, og om bruddet indebærer en sandsynlig risiko for fysiske personers rettigheder, ” siger Karsten Holt og fortsætter:
”Hvis databruddet med sikkerhed ikke udgør en risiko for de registrerede, så har virksomheden heller ikke pligt til at anmelde det til Datatilsynet, men hændelsen skal registreres. Derfor er det vigtigt, at alle sådanne hændelser rapporteres til den person i virksomheden, der har det overordnede ansvar for persondata, påpeger han.
Besked til de registrerede
Udover pligten til at anmelde databrud til Datatilsynet, indeholder databeskyttelsesforordningen også en forpligtelse til at underrette de registrerede i tilfælde af brud på persondatasikkerheden, der medfører høj risiko for de registrerede. Det kan fx være, når de kompromitterede data er følsomme oplysninger, eller hvor hændelsen på anden måde medfører en risiko, hvis oplysningerne kommer i de forkerte hænder – fx personnumre, kreditkortoplysninger eller login-oplysninger (passwords).
Indhold i en anmeldelse
Har en virksomhed konstateret, at man har et databrud, skal det anmeldes til Datatilsynet via Virk.dk senest 72 timer efter, at det er blevet opdaget. Ved selve anmeldelsen skal den dataansvarlige udfylde en blanket, som indeholder krav om følgende oplysninger:
- Hvad er der sket, og hvilken typer af persondata drejer det sig om.
- Navn og kontaktoplysninger på den dataansvarlige person i virksomheden, hvis der er brug for flere oplysninger. Har virksomheden en databeskyttelsesrådgiver (DPO) skal dennes kontaktoplysninger oplyses.
- De sandsynlige konsekvenser af bruddet på persondatasikkerheden.
- De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder mulige tiltag for at begrænse eventuelle skadevirkninger.
Indhold i en underretning til registrerede
Når en dataansvarlig skal underrette de registrerede i forbindelse med et databrud, skal underretningen som minimum indeholde de samme oplysninger som i anmeldelsen til Datatilsynet.
Det er imidlertid ikke nødvendigt at underrette de registrerede, hvis en af følgende betingelser er opfyldt, forklarer Karsten Holt.
- Den dataansvarlige har gennemført passende tekniske og organisatoriske tiltag for at beskytte data.
- Den dataansvarlige har lavet nye tiltag, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
- Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, så de registrerede bliver underrettet på en tilsvarende effektiv måde.
Læs hele vejledningen fra Datatilsynet her
Eksempel på databrud:
Databrud konstateres: En virksomhed har alle oplysninger om deres medarbejdere, inkl. CPR-numre og helbredsoplysninger, liggende på én computer. Computeren forsvinder under et indbrud. Oplysningerne er ikke krypterede, men computeren er låst med et almindeligt kodeord.
Skal der ske anmeldelse til Datatilsynet? Ja, virksomheden skal anmelde bruddet til Datatilsynet. Det skyldes, at der er tale om følsomme og fortrolige personoplysninger om medarbejderne, og at der er en risiko for, at uvedkommende får adgang til personoplysningerne på grund af den ringe sikkerhedsforanstaltning.
Skal de registrerede underrettes? Ja, virksomheden bør underrette hver medarbejder om bruddet, fordi der er stor sandsynlighed for, at oplysningerne kan blive kompromitteret. De registrerede skal have mulighed for at træffe de fornødne forholdsregler, såsom at bestille nyt sundhedskort eller opsætte en såkaldt kreditadvarsel på sit cpr-nummer (en mulighed, der blev indført pr. 1. januar 2017).
Læs flere lærerige eksempler på brud og hvem der skal underrettes på side 33-37 i vejledningen.
Har du brug for rådgivning om GDPR?
0 kommentar