Vælg kontor
Privat
Erhverv
Nyheder
Om advodan

Persondata: Sådan skal virksomheder håndtere databrud

  • Af Pia Eskildsen
  • 15. mar 2018

Når den nye databeskyttelsesforordningen får virkning fra d. 25. maj 2018, skal virksomheder være meget opmærksomme på deres forpligtelser til lave anmeldelser til Datatilsynet, når de oplever databrud.

Et databrud er defineret som et ”brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.” Det forklarer fortæller advokat og persondataspecialist Karsten Holt fra ADVODAN.

Eksempler på databrud
Et databrud kan eksempelvis ske i forbindelse med et hackerangreb, fejl i it-systemer eller indbrud i virksomheden. Det kan også ske ved helt almindelige menneskelige fejl såsom at sende en mail, der  indeholder personoplysninger til en forkert modtager, eller man mister en bærbar PC, smartphone eller anden mobil enhed, der indeholder eller giver adgang til personoplysninger.

”En anmeldelse til Datatilsynet skal ske uden unødig forsinkelse og senest 72 timer efter, at virksomheden er blevet bekendt med bruddet. Men inden anmeldelsen skal virksomheden selvfølge vurdere hvilke data, det drejer sig om, og om bruddet indebærer en sandsynlig risiko for fysiske personers rettigheder, ” siger Karsten Holt og fortsætter:

”Hvis databruddet med sikkerhed ikke udgør en risiko for de registrerede, så har virksomheden heller ikke pligt til at anmelde det til Datatilsynet, men hændelsen skal registreres. Derfor er det  vigtigt, at alle sådanne hændelser rapporteres til den person i virksomheden, der har det overordnede ansvar for persondata, påpeger han.

Besked til de registrerede
Udover pligten til at anmelde databrud til Datatilsynet, indeholder databeskyttelsesforordningen også en forpligtelse til at underrette de registrerede i tilfælde af brud på persondatasikkerheden, der medfører høj risiko for de registrerede. Det kan fx være, når de kompromitterede data er følsomme oplysninger, eller hvor hændelsen på anden måde medfører en risiko, hvis oplysningerne kommer i de forkerte hænder – fx personnumre, kreditkortoplysninger eller login-oplysninger (passwords).

Indhold i en anmeldelse
Har en virksomhed konstateret, at man har et databrud, skal det anmeldes til Datatilsynet via Virk.dk senest 72 timer efter, at det er blevet opdaget. Ved selve anmeldelsen skal den dataansvarlige udfylde en blanket, som indeholder krav om følgende oplysninger:

  • Hvad er der sket, og hvilken typer af persondata drejer det sig om.
  • Navn og kontaktoplysninger på den dataansvarlige person i virksomheden, hvis der er brug for flere oplysninger. Har virksomheden en databeskyttelsesrådgiver (DPO) skal dennes kontaktoplysninger  oplyses.
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden.
  • De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder mulige tiltag for at begrænse eventuelle skadevirkninger.

Indhold i en underretning til registrerede
Når en dataansvarlig skal underrette de registrerede i forbindelse med et databrud, skal underretningen som minimum indeholde de samme oplysninger som i anmeldelsen til Datatilsynet.

Det er imidlertid ikke nødvendigt at underrette de registrerede, hvis en af følgende betingelser er opfyldt, forklarer Karsten Holt.

  • Den dataansvarlige har gennemført passende tekniske og organisatoriske tiltag for at beskytte data.
  • Den dataansvarlige har lavet nye tiltag, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
  • Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, så de registrerede bliver underrettet på en tilsvarende effektiv måde.

Læs hele vejledningen fra Datatilsynet her

Eksempel på databrud: 

Databrud konstateres: En virksomhed har alle oplysninger om deres medarbejdere, inkl. CPR-numre og helbredsoplysninger, liggende på én computer. Computeren forsvinder under et indbrud. Oplysningerne er ikke krypterede, men computeren er låst med et almindeligt kodeord.

Skal der ske anmeldelse til Datatilsynet? Ja, virksomheden skal anmelde bruddet til Datatilsynet. Det skyldes, at der er tale om følsomme og fortrolige personoplysninger om medarbejderne, og at der er en risiko for, at uvedkommende får adgang til personoplysningerne på grund af den ringe sikkerhedsforanstaltning.

Skal de registrerede underrettes? Ja, virksomheden bør underrette hver medarbejder om bruddet, fordi der er stor sandsynlighed for, at oplysningerne kan blive kompromitteret. De registrerede skal have mulighed for at træffe de fornødne forholdsregler, såsom at bestille nyt sundhedskort eller opsætte en såkaldt kreditadvarsel på sit cpr-nummer (en mulighed, der blev indført pr. 1. januar 2017).

Læs flere lærerige eksempler på brud og hvem der skal underrettes på side 33-37 i vejledningen. 

 

 

Vil du vide mere?
Stil et spørgsmål
DU ER I GANG MED AT STILLE
ET SPØRGSMÅL PÅ ADVODAN.DK

Inden du går videre, vil vi gerne gøre dig opmærksom på, at dit spørgsmål bliver synligt her på siden.

Vi opfordrer derfor til, at du tænker over, hvilke informationer du afgiver, når du stiller dit spørgsmål. Vi anbefaler, at du fx undlader informationer om dit helbred, din økonomi eller andre personfølsomme oplysninger. Det kan også være oplysninger om familiære forhold eller oplysninger om din arbejdsmæssige situation, som det er uhensigtsmæssigt at offentliggøre her på siden.

Ønsker du ikke, at dit spørgsmål skal være synligt, har du mulighed for at kontakte et af vores lokale kontorer via kontaktformularen i højre hjørne.

Når du stiller dit spørgsmål her på siden, skal du oplyse din e-mailadresse. Din e-mailadresse bliver ikke offentliggjort men benyttes, så du kan godkende dit spørgsmål, inden det bliver synligt på hjemmesiden. Samtidig benyttes den til at fremsende en mail, når advokaten har besvaret dit spørgsmål.

Vi forbeholder os retten til at slette spørgsmål, indlæg og kommentarer, som indeholder personfølsomme oplysninger og bryder med gængse uformelle regler for god tone.

OK - LUK DENNE BOKS

Når du udfylder formularen og klikker på ”send”, giver du dit samtykke til, at dit navn og dit spørgsmål offentliggøres på hjemmesiden.
Din e-mailadresse bliver ikke offentliggjort men benyttes, så du kan godkende dit spørgsmål, inden det bliver synligt på hjemmesiden. Samtidig benyttes den til at fremsende en mail, når advokaten har besvaret dit spørgsmål.

ADVODAN opbevarer og benytter udelukkende de indtastede oplysninger som led i besvarelse af spørgsmål. Behandlingen af oplysningerne sker sikkert, fortroligt og i overensstemmelse med gældende lovgivning.
Vi opbevarer din e-mailadresse i tre måneder, hvorefter den slettes helt. Dit spørgsmål og advokatens svar forbliver synlige på ADVODANs hjemmeside, så længe vi vurderer, at det er relevant og giver værdi for andre læsere.

Rette og slette oplysninger

Hvis du ønsker at få fjernet dit spørgsmål fra hjemmesiden, skal du rette henvendelse til ADVODANs sekretariat.
Vi forbeholder os retten til at slette spørgsmål, indlæg og kommentarer, som indeholder personfølsomme oplysninger og bryder med gængse uformelle regler for god tone. Vi opfordrer derfor til, at du tænker over, hvilke informationer du afgiver, når du stiller dit spørgsmål. Vi anbefaler, at du fx undlader informationer om dit helbred, din økonomi eller andre personfølsomme oplysninger. Det kan også være oplysninger om familiære forhold eller oplysninger om din arbejdsmæssige situation, som det er uhensigtsmæssigt at offentliggøre her på siden.

Læs mere om ADVODANs behandling af personoplysninger her.
Persondata Persondata

Brug for hjælp? ADVODAN kan hjælpe dig med at få overblik over håndtering af persondata i din virksomhed.

Læs mere her

Har du et spørgsmål til artiklen, kan du stille det her og få svar fra en advokat.

Stil et spørgsmål
GØR SOM 12.223 ANDRE. SE MERE HER
Gør som 12.223 andre

Tilmeld dig vores nyhedsbreve og bliv opdateret på juraen i din hverdag. Vi sender ud to gange hver måned.

Når du udfylder formularen og trykker ”Ja tak, tilmeld mig nu”, giver du samtykke til, at ADVODAN sender dig nyhedsbreve med lokale arrangementer, nyheder og gode råd om jura.

ADVODAN opbevarer og benytter udelukkende de indtastede oplysninger som led i udsendelse af nyhedsbreve. Behandlingen af oplysningerne sker sikkert, fortroligt og i overensstemmelse med gældende lovgivning.

Du kan til enhver tid tilbagekalde dit samtykke og afmelde dig nyhedsbreve fra ADVODAN ved at bruge linket i bunden af nyhedsbrevet.

Læs mere om ADVODANs behandling af personoplysninger her.