Ny case-baseret vejledning ruster dig til at håndtere brud på persondatasikkerheden
Den 18. januar 2021 offentliggjorde Det Europæiske Databeskyttelsesråd (EDPB) en vejledning, der, med afsæt i fiktive cases, ruster dataansvarlige til at håndtere 18 af de hyppigste former for sikkerhedsbrud.
De fiktive cases relaterer sig blandt andet til forskellige former for ransomeware-angreb, dataudfilitrering (malware-angreb), social engineering, medarbejderforårsagede sikkerhedsbrud, mistede eller stjålne computere og papirdokumenter samt fejlforsendelser.
Under hvert af de 18 eksempler forklarer EDPB, hvordan den dataansvarlige bør håndtere det pågældende sikkerhedsbrud ved at gennemføre en risikovurdering, begrænse sikkerhedsbruddets konsekvenser, anmelde sikkerhedsbruddet og underrette de berørte registrerede. I samme forbindelse oplister vejledningen de faktorer, som den dataansvarlige bør inddrage i sin vurdering af, om sikkerbrudsbruddet skal anmeldes til den nationale databeskyttelsesmyndighed, og om de berørte registrerede skal underrettes.
Vejledningen indeholder også værktøjer til at forebygge de enkelte sikkerhedsbrud.
Den nye vejledning supplerer artikel 29-gruppens vejledning om anmeldelse af brud på persondatasikkerheden fra 2017, som EDPB anerkendte som gyldig, da EDPB erstattede artikel 29-gruppen i maj 2018.
Vejledningen er i offentlig høring indtil den 2. marts 2021.