Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Er din virksomhed forberedt på at håndtere databrud?

Hulgaard Advokater
11/01/2024
Er din virksomhed forberedt på at håndtere databrud?
Hulgaard Advokater logo

Hvad er et databrud?

Der følger af Databeskyttelsesforordningen en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter, at man er blevet bekendt med bruddet.


Af Databeskyttelsesforordningens artikel 4, stk. 12 fremgår, at et ”brud på persondatasikkerheden er et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.


Dette omfatter bl.a. hændelser, hvor der er en risiko for diskrimination, identitetstyveri eller –svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.


I praksis kan databrud inddeles i to overordnede kategorier:


  • Tekniske databrud, hvor virksomhedens systemer ikke er tilstrækkeligt sikrede, hvilket eksempelvis kan give anledning til, at udefrakommende får adgang til personoplysninger via hacking.
  • Menneskelige databrud, der forårsages af virksomhedens egen håndtering af persondata, eksempelvis ved utilsigtet eller uberettiget videregivelse af personoplysninger til en tredje part eller ved utilstrækkelig sikring af data i forbindelse med uheld, eksempelvis brand og oversvømmelse.


Vær opmærksom på, at selv det, at en taske med tavshedsbelagte oplysninger bortkommer, at der er fejl i rettighedsstyringen i virksomhedens systemer, eller at man ved en fejl sender et brev eller en mail til en forkert modtager kan udgøre er databrud. Desuden kan det forekomme, at der via virksomhedens servere gives utilsigtet adgang til personoplysninger, enten på grund af manglende sikkerhedsforanstaltninger (hvor oplysninger ved en simpel søgning kan findes via internettet) eller ved hacking.

Hvornår skal et databrud anmeldes?

Hvis man som dataansvarlig vurderer, at bruddet ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder – med andre ord ikke påvirker de berørte – kan man undlade at anmelde bruddet til Datatilsynet. Dette kræver dog en


konkret vurdering af hændelsen, herunder en efterfølgende risikovurdering. Det anbefales at lave denne risikovurdering skriftligt, herunder elektronisk, da der er krav om, at den skal kunne dokumenteres. Den kan derudover også udleveres til Datatilsynet ved en eventuel kontrol.


I risikovurderingen indgår som minimum: En vurdering af hvilken type af sikkerhedsbrud, der er tale om (videregivelse, tab, brud på fortrolighed mv.), oplysningernes omfang og art, risikoen for, at den registrerede kan identificeres, konsekvenser for den/de berørte, hvorvidt bruddet omfatter særlige registrerede (børn og andre særligt udsatte) og antallet af berørte.


Hvis et databrud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ske anmeldelse til Datatilsynet.


Hvis et databrud indebærer en høj risiko for de registrerede, skal disse endvidere underrettes. Hvad der kan betegnes som en høj risiko beror på en individuel konkret vurdering ved hvert databrud. Sandsynligheden for, at bruddet får konsekvenser, samt alvoren af konsekvenserne, kan indgå som parametre i denne vurdering.

Hvordan håndteres databrud i virksomheden?

Det er en god idé, at man som virksomhed processuelt forbereder sig på, hvordan brud på persondatasikkerheden håndteres. Dels fordi der er en tidsfrist for anmeldelse af databrud, dels fordi Datatilsynet kan vælge at kontrollere virksomhedens håndtering af databrud.


Virksomheden kan forberede sig ved at udarbejde en procesbeskrivelse for håndtering af databrud. Det vil bl.a. være relevant at udarbejde et skema til indsamling af relevante oplysninger om bruddet og få beskrevet, hvem der er ansvarlig for at anmelde databruddet til Datatilsynet og underrette de registrerede. Man kan med fordel udarbejde et standardbrev, som kan benyttes til underretning af de registrerede.


Af forordningen fremgår, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger. Dette kan gøres ved, at der føres en logbog over databrud. Logbogen skal både indeholde de databrud, som anmeldes og de databrud, som ikke vurderes at udgøre en risiko for de registrerede og dermed ikke anmeldes. Logbogen fungerer som dokumentation for, at virksomheden håndterer databrud i henhold til reglerne.


Som databehandler har man en absolut forpligtelse til at underrette den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse. Det er den dataansvarlige, som er ansvarlig for at vurdere bruddet.


Læs mere om databrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Borgere havde ret til indsigt i navn på utilsigtet modtager
Borgere havde ret til indsigt i navn på utilsigtet modtager
07/10/2024
Persondata
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
Datatilsynet giver alvorlig kritik, påbud og advarsel i sagen om Dansk Retursystem pant-app
09/10/2024
Persondata
Tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework er nu evalueret for første gang
Tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework er nu evalueret for første gang
10/10/2024
Persondata
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted