Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny vejledning fra Datatilsynet om sikkerhedsbrud

Bird & Bird
09/03/2018
Ny vejledning fra Datatilsynet om sikkerhedsbrud
Den nye vejledning fra Datatilsynet giver private virksomheder og offentlige myndigheder nogle retningslinjer til at vurdere, om de i tilfælde af et sikkerhedsbrud har pligt til at underrette Datatilsynet og de registrerede om bruddet.



Hvad siger GDPR om sikkerhedsbrud?


Hvis der sker et brud på persondatasikkerheden, har den berørte organisation som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter, at bruddet er blevet konstateret.

Hvis bruddet sandsynligvis indebærer en høj risiko for de registreredes rettigheder, har organisationen herudover pligt til at orientere de berørte personer om bruddet.


Hvad er et sikkerhedsbrud?


Et brud på persondatasikkerheden er i henhold til GDPR artikel 4 "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."

Et sikkerhedsbrud kan både forårsages af udefrakommende, der får adgang til personoplysningerne, fx hacking, og af den dataansvarliges egen håndtering af personoplysninger, fx hvis personoplysninger ubeføjet videregives eller ændres.

Ifølge Datatilsynet kan der også ske et brud på persondatasikkerheden, hvis den dataansvarlige i en periode ikke har adgang til personoplysningerne, fx som følge af brand eller oversvømmelse.

Læs mere om persondatasikkerhedsbrud i Datatilsynets nye vejledning


Hvornår skal bruddet anmeldes til Datatilsynet?


Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Organisationer fritages kun for anmeldelsespligten, når det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder.

Ved vurderingen heraf skal der lægges vægt på:

  1. typen af sikkerhedsbruddet,

  2. oplysningernes art og omfang,

  3. risikoen for at registrerede kan identificeres,

  4. de konsekvenser bruddet kan have for de registrerede,

  5. hvorvidt bruddet omfatter særlige kategorier af registrerede (fx børn), og

  6. antallet af berørte fysiske personer.


Et brud på persondatasikkerheden skal eksempelvis ikke anmeldes til Datatilsynet, hvis organisationen har været hurtig til at gribe ind og standse sikkerhedsbruddet, så bruddet ikke har nået at få konsekvenser for de berørte personer.

Den dataansvarlige skal kunne bevise, at det er usandsynligt, at bruddet har fået konsekvenser for de berørte personer. I tvivlstilfælde anbefales det derfor at anmelde bruddet til Datatilsynet.


Hvornår skal de registrerede orienteres om bruddet?


Når de berørte personer i et sikkerhedsbrud i visse tilfælde skal orienteres, er det for at give dem mulighed for at træffe de nødvendige forholdsregler. Det kan eksempelvis være for at undgå identitetstyveri, tab af fortrolighed af oplysninger underlagt tavshedspligt, økonomisk tab etc. Organisationer, der har været udsat for et brud på persondatasikkerheden, er derfor pålagt at foretage en risikovurdering af bruddets potentielle skadevirkninger. Jo mere alvorlige konsekvenser bruddet kan have, jo større vil risikoen være for de berørte personer.

Eksempelvis vil en musikstreamingtjeneste være forpligtet til at orientere de registrerede om et sikkerhedsbrud, hvis dets brugerdatabase stjæles og offentliggøres på internettet. Brugerdatabasen indeholder bl.a. brugernes fulde navn, brugernavn og adgangskode til tjenesten, og den dataansvarlige vil være nødt til at forny brugernes adgangskode. Det vil derfor være nødvendigt at underrette de berørte personer dels for at informere dem om årsagen til, at adgangskoden skal fornys, og dels for at give dem mulighed for at skifte deres adgangskoder på andre konti, da man ofte bruger samme adgangskode til forskellige konti.


Digital løsning for anmeldelser af sikkerhedsbrud


Af vejledningen fremgår endvidere, at der arbejdes på en fælles digital løsning for anmeldelser af sikkerhedsbrud. I visse tilfælde vil en organisation også være forpligtet til at underrette Erhvervsstyrelsen, Center for Cybersikkerhed og Finanstilsynet om et sikkerhedsbrud, og løsningen vil dermed effektivisere anmeldelsesprocessen, idet sikkerhedsbrud kun skal indberettes én gang og ét sted.

Løsningen vil være tilgængelig på www.virk.dk fra den 25. maj 2018.

 

 



 




 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted