Databrud – hvordan håndterer du det, og hvad er dine forpligtelser?
Et databrud kan f.eks. føre til økonomiske tab eller skade på virksomhedens omdømme. Derfor er det afgørende, at I har jeres procedurer på plads for at forebygge, opdage og håndtere databrud korrekt og effektivt.
Hvad er et databrud?
Et databrud defineres som ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandles.”, jf. Databeskyttelsesforordningens artikel 4, nr. 12.
Et databrud kan f.eks. opstå ved:
- Hacking, hvor uautoriserede personer bryder ind i systemer for at stjæle data
- Phishing, hvor afsenderen sender falske e-mails for at narre modtageren til at dele data
- Malware, hvor skadelig software installeres på systemer for at få adgang til data eller for at ødelægge data
- Tab eller tyveri af udstyr – f.eks. bærbare computere, smartphones eller andre enheder, der indeholder personoplysninger, mistes eller stjæles
- Uautoriseret adgang, hvor f.eks. medarbejdere inden for virksomheden får adgang til personoplysninger, som de ikke har tilladelse til at se
- Utilsigtet videregivelse, hvor data lækkes ved en fejl, f.eks. ved at der sendes en e-mail eller fil indeholdende personoplysninger til forkert modtager
Hvornår og hvordan håndteres et databrud?
Som udgangspunkt skal alle databrud anmeldelse til Datatilsynet, medmindre det er usandsynligt, at databruddet indebærer en risiko for den fysiske persons rettigheder eller frihedsrettigheder – dvs. at databruddet ikke påvirker den person, hvis data det drejer sig om.
Som dataansvarlig skal du derfor starte med at foretage en konkret vurdering af, om der foreligger et brud på datasikkerheden. Vurderingen skal indeholde en beskrivelse af de faktiske omstændigheder, dets virkninger og de trufne afhjælpende foranstaltninger. Vi anbefaler altid, at vurderingen laves skriftligt, idet den dataansvarlige skal kunne udlevere dokumentation, hvis Datatilsynet anmoder om det.
En anmeldelse om databrud skal ske uden unødig forsinkelse, og senest 72 timer efter den dataansvarlige er blevet bekendt med databruddet.
Anmeldelsen skal ske via hjemmesiden virk.dk.
Anmeldelsen skal opfylde visse indholdsmæssige krav – du skal blandt andet beskrive databruddets karakter, antallet af berørte personer og de foranstaltninger, der er taget for at håndtere hændelsen.
Hvis et brud på datasikkerheden vurderes at indebære en høj risiko for den fysiske persons rettigheder eller frihedsrettigheder, skal den dataansvarlige underrette vedkommende om databruddet uden unødig forsinkelse.
Hvis en virksomhed f.eks. bliver hacket, og brugernavne og adgangskoder bliver lækket, er den dataansvarlige forpligtet til at underrette de personer, der er berørte af hændelsen, hurtigst muligt, for at begrænse konsekvenserne for dem.
Procedure for håndtering af brud på datasikkerheden
Grundet den korte frist for anmeldelse af et databrud, kræver det en struktureret tilgang for at minimere skade og forhindre fremtidige brud på datasikkerheden.
Derfor er det vigtigt, at jeres virksomhed udarbejder skriftlige procedurer for håndtering af databrud, så alle medarbejdere er bekendt med, hvad de skal gøre i den pågældende situation.
Som dataansvarlig bør du ligeledes overveje, hvilke tekniske og organisatoriske foranstaltninger, der skal implementeres i virksomheden for at sikre, at brud på datasikkerheden minimeres og bliver opdaget rettidigt.
Har du spørgsmål?
Har du spørgsmål til artiklen eller ønsker du hjælp til udarbejdelsen af procedurer til håndtering af databrud, er du meget velkommen til at kontakte os.