Den nye vejledning fra Datatilsynet giver private virksomheder og offentlige myndigheder nogle retningslinjer til at vurdere, om de i tilfælde af et sikkerhedsbrud har pligt til at underrette Datatilsynet og de registrerede om bruddet.
Hvad siger GDPR om sikkerhedsbrud?
Hvis der sker et brud på persondatasikkerheden, har den berørte organisation som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter, at bruddet er blevet konstateret.
Hvis bruddet sandsynligvis indebærer en høj risiko for de registreredes rettigheder, har organisationen herudover pligt til at orientere de berørte personer om bruddet.
Hvad er et sikkerhedsbrud?
Et brud på persondatasikkerheden er i henhold til GDPR artikel 4 "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."
Et sikkerhedsbrud kan både forårsages af udefrakommende, der får adgang til personoplysningerne, fx hacking, og af den dataansvarliges egen håndtering af personoplysninger, fx hvis personoplysninger ubeføjet videregives eller ændres.
Ifølge Datatilsynet kan der også ske et brud på persondatasikkerheden, hvis den dataansvarlige i en periode ikke har adgang til personoplysningerne, fx som følge af brand eller oversvømmelse.
Læs mere om persondatasikkerhedsbrud i Datatilsynets nye vejledning
Hvornår skal bruddet anmeldes til Datatilsynet?
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Organisationer fritages kun for anmeldelsespligten, når det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder.
Ved vurderingen heraf skal der lægges vægt på:
- typen af sikkerhedsbruddet,
- oplysningernes art og omfang,
- risikoen for at registrerede kan identificeres,
- de konsekvenser bruddet kan have for de registrerede,
- hvorvidt bruddet omfatter særlige kategorier af registrerede (fx børn), og
- antallet af berørte fysiske personer.
Et brud på persondatasikkerheden skal eksempelvis ikke anmeldes til Datatilsynet, hvis organisationen har været hurtig til at gribe ind og standse sikkerhedsbruddet, så bruddet ikke har nået at få konsekvenser for de berørte personer.
Den dataansvarlige skal kunne bevise, at det er usandsynligt, at bruddet har fået konsekvenser for de berørte personer. I tvivlstilfælde anbefales det derfor at anmelde bruddet til Datatilsynet.
Hvornår skal de registrerede orienteres om bruddet?
Når de berørte personer i et sikkerhedsbrud i visse tilfælde skal orienteres, er det for at give dem mulighed for at træffe de nødvendige forholdsregler. Det kan eksempelvis være for at undgå identitetstyveri, tab af fortrolighed af oplysninger underlagt tavshedspligt, økonomisk tab etc. Organisationer, der har været udsat for et brud på persondatasikkerheden, er derfor pålagt at foretage en risikovurdering af bruddets potentielle skadevirkninger. Jo mere alvorlige konsekvenser bruddet kan have, jo større vil risikoen være for de berørte personer.
Eksempelvis vil en musikstreamingtjeneste være forpligtet til at orientere de registrerede om et sikkerhedsbrud, hvis dets brugerdatabase stjæles og offentliggøres på internettet. Brugerdatabasen indeholder bl.a. brugernes fulde navn, brugernavn og adgangskode til tjenesten, og den dataansvarlige vil være nødt til at forny brugernes adgangskode. Det vil derfor være nødvendigt at underrette de berørte personer dels for at informere dem om årsagen til, at adgangskoden skal fornys, og dels for at give dem mulighed for at skifte deres adgangskoder på andre konti, da man ofte bruger samme adgangskode til forskellige konti.
Digital løsning for anmeldelser af sikkerhedsbrud
Af vejledningen fremgår endvidere, at der arbejdes på en fælles digital løsning for anmeldelser af sikkerhedsbrud. I visse tilfælde vil en organisation også være forpligtet til at underrette Erhvervsstyrelsen, Center for Cybersikkerhed og Finanstilsynet om et sikkerhedsbrud, og løsningen vil dermed effektivisere anmeldelsesprocessen, idet sikkerhedsbrud kun skal indberettes én gang og ét sted.
Løsningen vil være tilgængelig på
www.virk.dk fra den 25. maj 2018.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →