Hvornår og hvem skal man underrette ved et brud?

  • Hvis der er sket et brud på persondatasikkerheden, skal den dataansvarlige virksomhed anmelde bruddet til Datatilsynet, straks efter at virksomheden er blevet bekendt med bruddet – eller senest inden 72 timer.
  • Under særlige omstændigheder, og hvis ikke det er muligt at anmelde før, kan virksomheden foretage anmeldelsen efter 72 timer. I skal som dataansvarlig virksomhed ledsage den forsinkede anmeldelse af en begrundelse for forsinkelsen.
  • Man kan som virksomhed undlade at anmelde til Datatilsynet, hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for den registrerede
  • Det er vigtigt at vide, hvem man har persondata om. Sørg derfor at have backup og parallelsystemer, der kan identificere de pågældende personer

Definition på “hændelse” og “brud”

En hændelse:

En handling, der kan medføre et brud, hvis der ikke reageres rettidigt.
Eksempler

  • Modtagelse af phishing mails (forsøg på at franarre en brugers personlige oplysninger)
  • Tab af mobiltelefon eller computer
  • Et fagsystem ikke er tilgængeligt
  • Klassificerede dokumenter ikke er låst nede ved arbejdstids ophør eller generelt, hvis sikkerhedsregler og procedurer ikke overholdes

Et brud:
Når data ved en fejl eller ulovligt slettes, går tabt, ændres, eller offentliggøres.

Eksempler

  • En e-mail med fortrolige eller personoplysninger sendes til en forkert modtager eller via usikre kanaler
  • Uautoriseret adgang til fortrolige eller personoplysninger
  • Tab af dokumenter, billeder, mobiltelefon eller computer, som ikke er krypteret
  • At uvedkommende skaffer sig adgang til virksomhedens data

Det kan f.eks. ske via ulåste mobiltelefoner, tablets eller computere, eller ved misbrug af medarbejderes brugernavne og passwords, ved hackerangreb, eller ved åbning af phishing mails.

Indholdsmæssige krav til anmeldelsen

Anmeldelsen skal som minimum indeholde nedenstående oplysninger:

  • En beskrivelse af karakteren af bruddet, herunder om muligt, kategorierne og antal berørte registrerede samt kategorierne og antal berørte registreringer af personoplysninger
  • Navn og kontaktoplysninger på databeskyttelsesrådgiveren
  • En beskrivelse af de sandsynlige konsekvenser af bruddet
  • En beskrivelse af de foranstaltninger der er truffet for at håndtere bruddet

Hvornår skal den dataansvarlige underrette de registrerede?

Foruden en forpligtelse for dataansvarlige virksomheder til at anmelde bruddet til tilsynsmyndigheden, gælder sideløbende en forpligtelse til straks at underrette de registrerede, som er berørt af bruddet. Denne underretningspligt gælder, hvis bruddet sandsynligvis vil indebære en høj risiko for den registreredes rettigheder i form af f.eks. identitetstyveri eller svindel, skade på omdømme, økonomisk ulempe m.fl.

Ved vurderingen af de sandsynlige konsekvenser skal alle de mulige konsekvenser tages i betragtning. Eksempelvis kan et læk af en adgangskode til en musiktjeneste have den sekundære konsekvens, at den registrerede skal skifte adgangskoder til flere andre konti, eftersom mange brugere anvender den samme adgangskode til flere forskellige konti.

I kan som virksomhed undlade at underrette de registrerede i følgende tilfælde – og kun hvis Datatilsynet ikke kræver underretning:

  • Hvis den dataansvarlige har gjort personoplysningerne uforståelige for enhver, der ikke har autoriserede adgang f.eks. ved kryptering
  • Hvis den dataansvarlige efterfølgende har gjort, at den høje risiko for de registrerede ikke længere er til stede f.eks. ved at den dataansvarlige straks har rettet henvendelse til den uberettigede modtager, forinden vedkommende har haft mulighed for at anvende oplysningerne
  • Hvis underretningen vil kræve en uforholdsmæssig indsats. I dette tilfælde skal der i stedet foretages en offentlig meddelelse, hvorved den dataansvarlige underretter de registrerede på tilsvarende effektiv måde

Indholdsmæssige krav til underretningen til den registrerede

  • Underretningen skal som minimum indeholde nedenstående oplysninger:
  • En beskrivelse af karakteren af bruddet
  • Navn og kontaktoplysninger på databeskyttelsesrådgiveren
  • En beskrivelse af de sandsynlige konsekvenser af bruddet
  • En beskrivelse af de foranstaltninger der er truffet for at håndtere bruddet

▷ Relevante links

Tjekliste vedr. databrud:

Enhver medarbejder ved, at et databrud skal anmeldes og indberettes hurtigst muligt
I tilfælde af et databrud har vi en plan for, hvordan vi vil minimere konsekvenserne, samt afværge bruddet
Vi vil kunne redegøre for, hvem der kan være påvirket af databruddet
I tilfælde af et databrud går vi straks i gang med at undersøge årsagen, samt iværksætter straks udbedrende foranstaltninger
­