Et databrud skal altid tages alvorligt, og ifølge databeskyttelsesforordningen har alle dataansvarlige en forpligtelse til som udgangspunkt at anmelde et brud på persondatasikkerheden til Datatilsynet. Det skal senest ske 72 timer efter, at databruddet er opdaget, og i samme ombæring skal de berørte underrettes.
Neden for finder du definitionen på et databrud samt et overblik over, hvad du skal gøre, hvis organisationen har oplevet et brud på persondatasikkerheden.
Hvad er et databrud?
Et databrud er en hændelse, hvor uautoriserede personer opnår adgang til personoplysninger, hvormed at dataenes fortrolighed, integritet eller tilgængelighed kompromitteres. Ifølge Persondataforordningen defineres et brud på persondatasikkerheden således:
"Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."
Det er vigtigt at skelne mellem brud på persondatasikkerheden, som defineret oven for, og en generel informationssikkerhedshændelse, der i ISO 27000-standarden defineres som:
"En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være relevant for sikkerheden..."
En informationssikkerhedshændelse vil ikke nødvendigvis være et brud på persondatasikkerheden, og det er altså kun et reelt databrud, der skal anmeldes til Datatilsynet.
LÆS OGSÅ: GDPR: Lær af de fejl, andre har begået
Sådan håndterer du et databrud
Har organisationen været udsat for et databrud, er der fire trin, du skal følge for at håndtere bruddet efter forskrifterne – nemlig:
1) Skab overblik over databruddet
Så snart databruddet er opdaget, bør du som det første skabe et overblik over følgende:
- Hvor mange personer er berørt af bruddet?
- Hvor længe har sikkerhedsbruddet stået på?
- Hvordan er databruddet sket?
- Er data stadig tilgængelig for uvedkommende?
2) Dokumenter databruddet
Omstændighederne omkring bruddet på persondatasikkerheden skal skrives ned og dokumenteres. Samtidig skal du beskrive, hvad databruddet har betydet for de berørte og ikke mindst hvilke afhjælpende foranstaltninger, organisationen har foretaget.
Du kan med fordel være grundig i dokumentationen, da Datatilsynet som minimum skal have:
- en beskrivelse af karakteren af bruddet samt om muligt et omtrentligt antal berørte registrerede og antal berørte registreringer af personoplysninger.
- en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden
- en beskrivelse af de foranstaltninger organisationen har truffet for at håndtere bruddet og begrænse dets mulige skadevirkninger.
3) Anmeld databrud til Datatilsynet
Som udgangspunkt skal alle databrud anmeldes til Datatilsynet, og det skal ske senest 72 timer efter, at organisationen er blevet bekendt med bruddet på persondatasikkerheden.
Hvis det er usandsynligt, at databruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, kan du undlade at anmelde databruddet.
LÆS OGSÅ: Persondataforordningen: Pligter og rettigheder
4) Underret de berørte
Når et brud på persondatasikkerheden indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, er du forpligtet til at underrette de berørte.
Om bruddet indebærer en høj risiko eller ej, afhænger af en vurdering af den enkelte hændelse. Du kan med fordel foretage en risikovurdering for at afdække:
- Hvad er konsekvenserne for de berørte?
- Hvor sandsynligt er det, at bruddet vil få konsekvenser?
- Hvordan underretningen rent praktisk skal foretages, er en individuel vurdering. Det kan eksempelvis ske via e-mail, brev, sms eller lignende, og det er vigtigt, at informationen ikke sendes til de berørte sammen med anden information.
Vil du vide mere om håndtering af databrud, kan du med fordel læse Datatilsynets pjece: Vejledning om håndtering af brud på persondatasikkerheden.
