Sikkerhedsbrud: Sådan håndterer din organisation brud på persondatasikkerheden

Indsigt

28.09.2023

GDPR stiller krav både til den dataansvarlige og databehandleren om, at der tilvejebringes et sikkerhedsniveau, som i tilstrækkelig grad beskytter de personoplysninger, der behandles. Er du velforberedt i tilfælde af sikkerhedsbrud i din organisation? Få gode råd i artiklen her.

Du er forpligtet til at beskytte de registreredes rettigheder

Hvis personoplysninger kommer i de forkerte hænder, kan du risikere, at oplysningerne bliver anvendt til uautoriserede formål, bliver manipuleret eller tilintetgjort.

Dette ville indebære en tilsidesættelse af de registreredes rettigheder og frihedsrettigheder, som du har en forpligtelse til at beskytte, når du behandler personoplysninger.

Det er derfor vigtigt, at din organisation sikrer sig mod sikkerhedsbrud, samt har styr på, hvordan et brud håndteres korrekt, hvis skaden er sket.

Sådan håndterer din organisation et sikkerhedsbrud korrekt

Hvis et sikkerhedsbrud opstår, er det vigtigt at din organisation har regler for, hvordan det skal håndteres. Det er vigtigt, at din organisation reagerer hurtigst muligt, idet sikkerhedsbrud skal indberettes til Datatilsynet inden for 72 timer efter, at din organisation er blevet bekendt med bruddet.

7 vigtige punkter du bør tage stilling til i forbindelse med sikkerhedsbrud

Hvem skal sikkerhedsbruddet indrapporteres til, når det opdages?
Hvilke oplysninger skal den ansatte, der opdager bruddet, give videre i forbindelse med indrapporteringen?
Hvem håndterer bruddet, og hvad er de øjeblikkelige skridt for at stoppe det?
Hvem tager stilling til, om bruddet skal indberettes til Datatilsynet samt vurderer, hvorvidt de berørte registrerede skal underrettes?
Hvem forestår indberetningen til Datatilsynet?
Hvem fører log over sikkerhedshændelser i organisationen?
Hvem følger op på sikkerhedsbruddet og evaluerer håndteringsprocessen som en forebyggende indsats mod lignende hændelse?

Hvad er et sikkerhedsbrud?

Begrebet ”sikkerhedsbrud” skal forstås bredt, idet begrebet dækker over mange forskellige typer af hændelser. Det følger af databeskyttelsesforordningen, at et brud på persondatasikkerheden omfatter brud ”der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Med andre ord handler et sikkerhedsbrud om enhver situation, der potentielt kan skabe en risiko for fysiske personers rettigheder, herunder de ansatte i din organisation, dine kunder eller borgere.

Eksempler på et sikkerhedsbrud

De fleste organisationer oplever sikkerhedsbrud. Et brud er derfor nødvendigvis ikke et udtryk for, at din organisation ikke lever op til de databeskyttelsesretlige regler. Et sikkerhedsbrud kan have mange former:

En medarbejder sender en mail til en forkert modtager, og e-mailen indeholder personoplysninger.
En medarbejder har mistet sin arbejdstelefon eller -PC, hvor der er adgang til personoplysninger f.eks. via arbejdsmail.
En medarbejder klikker på et link i en ”phishing”-mail.
Din organisation bliver udsat for et hackerangreb f.eks. som følge af utilstrækkelige og svage adgangskoder til systemer og data.
Rengøringen på kontoret kommer til at smide vigtige dokumenter med personoplysninger ud, som derfor nu er gået tabt.

Lad HjulmandKaptain hjælpe dig med håndtering af persondatasikkerhed og sikkerhedsbrud

Har du og din organisation brug for hjælp til håndtering af sikkerhedsbrud, så er du velkommen til at kontakte HjulmandKaptains specialister i databeskyttelse. Vores solide erfaring på området giver dig en pålidelig vej til at reducere risikoen for sikkerhedsbrud og styrke databeskyttelsen.