Er din virksomhed forberedt på at håndtere databrud?
Hvad er et databrud?
Der følger af Databeskyttelsesforordningen en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter, at man er blevet bekendt med bruddet.
Af Databeskyttelsesforordningens artikel 4, stk. 12 fremgår, at et ”brud på persondatasikkerheden er et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.
Dette omfatter bl.a. hændelser, hvor der er en risiko for diskrimination, identitetstyveri eller –svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.
I praksis kan databrud inddeles i to overordnede kategorier:
- Tekniske databrud, hvor virksomhedens systemer ikke er tilstrækkeligt sikrede, hvilket eksempelvis kan give anledning til, at udefrakommende får adgang til personoplysninger via hacking.
- Menneskelige databrud, der forårsages af virksomhedens egen håndtering af persondata, eksempelvis ved utilsigtet eller uberettiget videregivelse af personoplysninger til en tredje part eller ved utilstrækkelig sikring af data i forbindelse med uheld, eksempelvis brand og oversvømmelse.
Vær opmærksom på, at selv det, at en taske med tavshedsbelagte oplysninger bortkommer, at der er fejl i rettighedsstyringen i virksomhedens systemer, eller at man ved en fejl sender et brev eller en mail til en forkert modtager kan udgøre er databrud. Desuden kan det forekomme, at der via virksomhedens servere gives utilsigtet adgang til personoplysninger, enten på grund af manglende sikkerhedsforanstaltninger (hvor oplysninger ved en simpel søgning kan findes via internettet) eller ved hacking.
Hvornår skal et databrud anmeldes?
Hvis man som dataansvarlig vurderer, at bruddet ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder – med andre ord ikke påvirker de berørte – kan man undlade at anmelde bruddet til Datatilsynet. Dette kræver dog en
konkret vurdering af hændelsen, herunder en efterfølgende risikovurdering. Det anbefales at lave denne risikovurdering skriftligt, herunder elektronisk, da der er krav om, at den skal kunne dokumenteres. Den kan derudover også udleveres til Datatilsynet ved en eventuel kontrol.
I risikovurderingen indgår som minimum: En vurdering af hvilken type af sikkerhedsbrud, der er tale om (videregivelse, tab, brud på fortrolighed mv.), oplysningernes omfang og art, risikoen for, at den registrerede kan identificeres, konsekvenser for den/de berørte, hvorvidt bruddet omfatter særlige registrerede (børn og andre særligt udsatte) og antallet af berørte.
Hvis et databrud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ske anmeldelse til Datatilsynet.
Hvis et databrud indebærer en høj risiko for de registrerede, skal disse endvidere underrettes. Hvad der kan betegnes som en høj risiko beror på en individuel konkret vurdering ved hvert databrud. Sandsynligheden for, at bruddet får konsekvenser, samt alvoren af konsekvenserne, kan indgå som parametre i denne vurdering.
Hvordan håndteres databrud i virksomheden?
Virksomheden kan forberede sig ved at udarbejde en procesbeskrivelse for håndtering af databrud. Det vil bl.a. være relevant at udarbejde et skema til indsamling af relevante oplysninger om bruddet og få beskrevet, hvem der er ansvarlig for at anmelde databruddet til Datatilsynet og underrette de registrerede. Man kan med fordel udarbejde et standardbrev, som kan benyttes til underretning af de registrerede.
Af forordningen fremgår, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger. Dette kan gøres ved, at der føres en logbog over databrud. Logbogen skal både indeholde de databrud, som anmeldes og de databrud, som ikke vurderes at udgøre en risiko for de registrerede og dermed ikke anmeldes. Logbogen fungerer som dokumentation for, at virksomheden håndterer databrud i henhold til reglerne.
Som databehandler har man en absolut forpligtelse til at underrette den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse. Det er den dataansvarlige, som er ansvarlig for at vurdere bruddet.
Læs mere om databrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.