Sikkerhedsbrud – Sådan håndterer du brud på persondatasikkerheden korrekt
Rigtig mange af de klagesager, som Datatilsynet behandler, drejer sig om brud på datasikkerheden. Derfor er der mange gode grunde til at sikre, at din virksomhed har styr på, at det håndteres korrekt, hvis uheldet er ude, og I oplever et sikkerhedsbrud.
Databeskyttelsesreglerne skelner ikke imellem mindre og store virksomheder, og reglerne er derfor gældende for alle virksomheder, som behandler personoplysninger om sine medarbejdere og kunder.
En personoplysning er enhver form for information, der kan henføres til en bestemt person og er derfor meget mere omfattende end blot navn, adresse og cpr.nr.
Et sikkerhedsbrud betyder, at en personoplysning ikke er blevet behandlet i overensstemmelse med databeskyttelsesreglerne. F.eks. er det et sikkerhedsbrud, hvis en e-mail med personoplysninger ved en fejl er blevet videresendt til en forkert modtager, når der gives systemadgange og dermed adgang til personoplysninger til forkerte personer, eller hvis personoplysninger mistes/stjæles.
De fleste virksomheder oplever sikkerhedsbrud. Det er ikke nødvendigvis et udtryk for, at virksomheden ikke har de rette sikkerhedsforanstaltninger implementeret, da de fleste nok vil anerkende, at det er svært helt at undgå, at der sker sikkerhedsbrud. Det afgørende er derfor, hvordan din organisation håndterer det, når der sker et brud.
Har din virksomhed nedskrevne regler for, hvordan et sikkerhedsbrud håndteres?
I flere af de klagesager, som Datatilsynet har behandlet, har det været afgørende for Datatilsynets vurdering af, om den indklagede virksomhed havde styr på processen om håndtering af sikkerhedsbrud. Derfor er det vigtigt, at din virksomhed har nedskrevne regler for, hvordan et sikkerhedsbrud skal håndteres.
Vi anbefaler, at reglerne blandt andet tager stilling til:
- Hvem skal et sikkerhedsbrud indrapporteres til? (Den som skal viderebehandle bruddet).
- Hvilke oplysninger skal gives videre? (Hvad er der sket, hvornår og hvilke oplysninger er berørt af bruddet mv.).
- Hvem tager stilling til om (og sørger for), at bruddet skal indberettes til Datatilsynet?
- Hvem tager stilling til (og sørger for), om de registrerede personer skal orienteres?
- Hvem følger op på sikkerhedsbruddet i forbindelse med de efterfølgende tiltag, som virksomheden beslutter, at der skal ske, f.eks. ændring af procedurer eller øget fokus på et bestemt område?
- Hvordan sikres det, at tidsfristen på 72 timer overholdes?
Er medarbejderne orienteret om reglerne for sikkerhedsbrud?
Det er også vigtigt, at din virksomhed sørger for, at alle medarbejdere forstår, hvad et sikkerhedsbrud er, så de er i stand til at vurdere, hvornår de skal indberette dette til den eller de udvalgte personer i jeres virksomhed. Derfor kan det være relevant at undervise og løbende sende remindere ud til medarbejderne om håndteringen af sikkerhedsbrud.
Teknisk komplicerede sikkerhedsbrud kan kræve involvering af eksterne parter
I nogle tilfælde kan sikkerhedsbruddet også være så teknisk kompliceret, omfattende eller af så alvorlig karakter, at det kræver involvering af eksterne parter, f.eks. jeres IT-leverandører og/eller eksterne rådgivere. Af hensyn til tidsfristen for indberetning af brud til Datatilsynet er det derfor vigtigt, at I hurtigt får kontaktet de relevante parter.
Når du anmelder et sikkerhedsbrud overfor Datatilsynet
Når du anmelder et sikkerhedsbrud overfor Datatilsynet, skal du:
- beskrive karakteren af bruddet på persondatasikkerheden,
- oplyse, hvem der er kontaktperson fra virksomhedens side,
- beskrive de sandsynlige konsekvenser af sikkerhedsbruddet,
- beskrive de forholdsregler, som I har truffet eller foreslår at træffe for at håndtere bruddet herunder - hvis muligt og relevant – hvilke foranstaltninger, I har iværksat for at begrænse skadevirkningerne af bruddet.
Artiklen er udarbejdet af vores samarbejdspartner Selskabsadvokaterne.