Databrud

Læs definitioner på hændelse og databrud under Ord & termer

Hvornår og hvem skal man underrette ved et brud?

  • Hvis der er sket et brud på persondatasikkerheden, skal den dataansvarlige virksomhed anmelde bruddet til Datatilsynet, straks efter at virksomheden er blevet bekendt med bruddet – eller senest inden 72 timer.
    Under særlige omstændigheder, og hvis ikke det er muligt at anmelde før, kan virksomheden foretage anmeldelsen efter 72 timer.
    I skal som dataansvarlig virksomhed ledsage den forsinkede anmeldelse af en begrundelse for forsinkelsen.
  • Man kan som virksomhed undlade at anmelde til Datatilsynet, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den registrerede.
    NB! Denne overvejelse skal kunne dokumenteres. DE er set flere eksempler på, at Datatilsynet har efterspurgt de begrundelser, der har været for IKKE at anmelde et databrud

Indholdsmæssige krav til anmeldelsen til Datatilsynet

Anmeldelsen skal som minimum indeholde nedenstående oplysninger:

   En beskrivelse af karakteren af bruddet, herunder om muligt, personkategorierne og antal berørte registrerede, persondatatyper og antal berørte registreringer af personoplysninger

   Navn og kontaktoplysninger på den persondataansvarlige

   En beskrivelse af de sandsynlige konsekvenser af bruddet

   En beskrivelse af de foranstaltninger, der er truffet for at håndtere bruddet

 

Underretning til de registrerede personer

Udover at anmelde databruddet til Datatilsynet, skal den dataansvarlige straks at underrette de registrerede, som er berørt af bruddet.

Denne underretningspligt gælder, hvis bruddet med stor sandsynlighed vil indebære en høj risiko for den registreredes rettigheder i form af f.eks. identitetstyveri eller svindel, skade på omdømme, økonomisk ulempe.

Ved vurderingen af de sandsynlige konsekvenser skal alle de mulige konsekvenser tages i betragtning.

Eksempelvis kan et læk af en adgangskode til en musiktjeneste have den sekundære konsekvens, at den registrerede skal skifte adgangskoder til flere andre konti, eftersom mange brugere anvender den samme adgangskode til flere forskellige konti.

I kan som dataansvarlig undlade at underrette de registrerede i følgende tilfælde – og kun hvis Datatilsynet ikke kræver underretning:

   Hvis den dataansvarlige har gjort persondata uforståelige for enhver, der ikke har autoriserede adgang f.eks. ved kryptering

   Hvis den dataansvarlige har sikret, at den høje risiko for de registrerede ikke længere er til stede. Eksempelvis ved at den dataansvarlige straks har rettet henvendelse til den uberettigede modtager, før denne har haft mulighed for at anvende oplysningerne

   Hvis underretningen vil kræve en uforholdsmæssig indsats. I så tilfælde skal der i stedet foretages en offentlig meddelelse, hvorved den dataansvarlige underretter de registrerede på tilsvarende effektiv måde

 

   ARKIVO note

Det er vigtigt at vide, hvilke personer, der også vil skulle underrettes. Så sørg derfor at have backup, dokumentation og/eller parallelsystemer, der kan identificere de pågældende personer.

Indholdsmæssige krav til underretningen til den registrerede

  Underretningen skal som minimum indeholde nedenstående oplysninger:

  En beskrivelse af karakteren af bruddet

  Navn og kontaktoplysninger på databeskyttelsesrådgiveren

   En beskrivelse af de sandsynlige konsekvenser af bruddet

   En beskrivelse af de foranstaltninger der er truffet for at håndtere bruddet

 

▷ Relevante links


Var denne information nyttig for dig?

Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.

Artikler om planer og logs

­