Kontakt os
Skriv hvad du ønsker at finde hjælp til
Indholdsforetegnelse
< Alle emner
Print

Procedure – brud på datasikkerheden

Posted2. oktober 2023
Updated1. februar 2024
ByFrederik Kromann

Sker der et brud på datasikkerheden, skal du som ansat omgående orientere ledelsen og eller den dataansvarlige, Frederik Kromann

Databehandleren skal ligeledes uden unødig forsinkelse underrette den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden og hjælpe den dataansvarlige med anmeldelsen.

Bruddet skal anmeldes af den dataansvarlige til Datatilsynet uden unødig forsinkelse og senest 72 timer efter viden, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Den dataansvarlige skal gå ind på virk.dk’s hjemmeside med sit MitID og udfylde blanketten via dette link:


https://virk.dk/myndigheder/stat/ERST/selvbetjening/Indberetning_af_brud_paa_sikkerhed/

For at Erhvervsstyrelsen nemt kan sammenholde den første underretning med en evt. anden underretning skal den dataansvarlige angive sit CVR-nr. på alle underretninger.

Anmeldelsen skal


1. beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, personkategorierne (kunder, ansatte, leverandører) og det omtrentlige antal berørte registrerede, samt personoplysnings-kategorierne (almindelige, særlige og/eller følsomme personoplysninger) og det omtrentlige antal berørte registreringer af personoplysninger,

2. angive navn på, og kontaktoplysninger for, databeskyttelsesrådgiveren eller en anden kontaktperson, hvor yderligere oplysninger kan indhentes

3. beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.


Dokumentation


Der skal medsendes dokumentation for de faktiske omstændigheder ved bruddet, dets virkninger, de trufne afhjælpende foranstaltninger, og oplyses om der er foretaget underretning til de registrerede og i givet fald hvorledes.


Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

Er det ikke muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse

Underretning til de registrerede


Kun hvis bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige, uden unødig forsinkelse, de(n) registrerede om bruddet på persondatasikkerheden for at give de(n) registrerede mulighed for, at træffe de fornødne forholdsregler.

Underretningen sker i et klart og forståeligt sprog, og beskriver karakteren af bruddet og angiver navn på, og kontaktoplysninger for, databeskyttelsesrådgiveren, eller en anden kontaktperson, hvor yderligere oplysninger kan indhentes, beskriver de sandsynlige konsekvenser af bruddet og beskriver de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for, at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

I følgende situationer behøver den dataansvarlige ikke at underrette:

1. Den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering.
Eksempel: Tab af bærbar enhed med krypterede data.

2. Den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel. Eksempel: Ved opdatering af et IT-system etableres utilsigtet i en kortere periode adgang til fortrolige persondata. Det opdages af virksomheden selv, der straks afskærer adgangen for uautoriserede brugere og iværksætter en undersøgelse af de nærmere omstændigheder ved bruddet. Undersøgelsen dokumenterer med sikkerhed, i hvilket tidsrum data har været tilgængelige for uautoriserede personer. Undersøgelsen dokumenterer også, at der findes troværdige logs, som ikke kan omgås og som har logget, når personoplysninger blev tilgået i tidsrummet, hvor persondata var eksponeret. Det kan endvidere på grundlag af de troværdige log-oplysninger dokumenteres, at kun autoriserede brugere faktisk har tilgået persondata, mens de var eksponeret – dvs. i den periode, hvor bruddet på persondatasikkerheden stod på.

3. Det vil kræve en uforholdsmæssig indsats at underrette de registrerede enkeltvis. I stedet skal der foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

4. Som nævnt oven for heller ikke i de situationer, hvor bruddet på persondatasikkerheden sandsynligvis ikke indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Der vil derfor være situationer, hvor der skal ske anmeldelse til tilsynsmyndigheden i tilfælde, hvor der ikke er en underretningspligt til de(n) registrerede.

Kontakt

Adresse

Links

Juridisk

Linkedin Facebook

Sandgrav Solutions 2021 © All rights reserved

Frederik Sandgrav

Hvad siger du til at modtage vores nyhedsbrev?

  • Spar tid og penge
  • Verdens bedste bogholderi
  • Nyt på techfronten