Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Databrud – hvordan håndterer du det, og hvad er dine forpligtelser?

WTC advokaterne
14/08/2024
Databrud – hvordan håndterer du det, og hvad er dine forpligtelser?
WTC advokaterne logo
Som dataansvarlig er det vigtigt at håndtere personoplysninger korrekt, da et brud på datasikkerheden kan få alvorlige konsekvenser – både for den registrerede og din virksomhed.

Et databrud kan f.eks. føre til økonomiske tab eller skade på virksomhedens omdømme. Derfor er det afgørende, at I har jeres procedurer på plads for at forebygge, opdage og håndtere databrud korrekt og effektivt.


Hvad er et databrud?

Et databrud defineres som ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandles.”, jf. Databeskyttelsesforordningens artikel 4, nr. 12.


Et databrud kan f.eks. opstå ved:


  • Hacking, hvor uautoriserede personer bryder ind i systemer for at stjæle data
  • Phishing, hvor afsenderen sender falske e-mails for at narre modtageren til at dele data
  • Malware, hvor skadelig software installeres på systemer for at få adgang til data eller for at ødelægge data
  • Tab eller tyveri af udstyr – f.eks. bærbare computere, smartphones eller andre enheder, der indeholder personoplysninger, mistes eller stjæles
  • Uautoriseret adgang, hvor f.eks. medarbejdere inden for virksomheden får adgang til personoplysninger, som de ikke har tilladelse til at se
  • Utilsigtet videregivelse, hvor data lækkes ved en fejl, f.eks. ved at der sendes en e-mail eller fil indeholdende personoplysninger til forkert modtager


Hvornår og hvordan håndteres et databrud?

Som udgangspunkt skal alle databrud anmeldelse til Datatilsynet, medmindre det er usandsynligt, at databruddet indebærer en risiko for den fysiske persons rettigheder eller frihedsrettigheder – dvs. at databruddet ikke påvirker den person, hvis data det drejer sig om.


Som dataansvarlig skal du derfor starte med at foretage en konkret vurdering af, om der foreligger et brud på datasikkerheden. Vurderingen skal indeholde en beskrivelse af de faktiske omstændigheder, dets virkninger og de trufne afhjælpende foranstaltninger. Vi anbefaler altid, at vurderingen laves skriftligt, idet den dataansvarlige skal kunne udlevere dokumentation, hvis Datatilsynet anmoder om det.


En anmeldelse om databrud skal ske uden unødig forsinkelse, og senest 72 timer efter den dataansvarlige er blevet bekendt med databruddet.


Anmeldelsen skal ske via hjemmesiden virk.dk.


Anmeldelsen skal opfylde visse indholdsmæssige krav – du skal blandt andet beskrive databruddets karakter, antallet af berørte personer og de foranstaltninger, der er taget for at håndtere hændelsen.


Hvis et brud på datasikkerheden vurderes at indebære en høj risiko for den fysiske persons rettigheder eller frihedsrettigheder, skal den dataansvarlige underrette vedkommende om databruddet uden unødig forsinkelse.


Hvis en virksomhed f.eks. bliver hacket, og brugernavne og adgangskoder bliver lækket, er den dataansvarlige forpligtet til at underrette de personer, der er berørte af hændelsen, hurtigst muligt, for at begrænse konsekvenserne for dem.


Procedure for håndtering af brud på datasikkerheden

Grundet den korte frist for anmeldelse af et databrud, kræver det en struktureret tilgang for at minimere skade og forhindre fremtidige brud på datasikkerheden.


Derfor er det vigtigt, at jeres virksomhed udarbejder skriftlige procedurer for håndtering af databrud, så alle medarbejdere er bekendt med, hvad de skal gøre i den pågældende situation.


Som dataansvarlig bør du ligeledes overveje, hvilke tekniske og organisatoriske foranstaltninger, der skal implementeres i virksomheden for at sikre, at brud på datasikkerheden minimeres og bliver opdaget rettidigt.


Har du spørgsmål? 

Har du spørgsmål til artiklen eller ønsker du hjælp til udarbejdelsen af procedurer til håndtering af databrud, er du meget velkommen til at kontakte os.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted