Sikkerhedsbrud – Sådan håndterer din organisation brud på persondatasikkerheden korrekt

Nyhed

09.03.2021

Der har i den seneste tid været stor fokus på, hvordan en organisation håndterer et sikkerhedsbrud. Rigtig mange af de klagesager, som Datatilsynet behandler, omhandler netop sikkerhedsbrud, og dette er formentlig også årsagen til, at Datatilsynet i en nyhed har meldt ud, at sikkerhedsbrud er et af deres fokusområder. Der er derfor mange gode grunde til at sikre, at din organisation har styr på, at det håndteres korrekt, hvis uheldet er ude, og I oplever et sikkerhedsbrud.

De fleste organisationer oplever sikkerhedsbrud. Det er ikke nødvendigvis et udtryk for, at organisationen ikke har de rette sikkerhedsforanstaltninger implementeret, idet de fleste nok vil anerkende, at det er svært helt at undgå, at der sker sikkerhedsbrud. Det afgørende er derfor, hvordan din organisation håndterer det, når der sker et brud.

Har din organisation nedskrevne regler for, hvordan et sikkerhedsbrud håndteres?

I flere af de klagesager, som Datatilsynet har behandlet inden for det seneste års tid, har det netop været afgørende, om den indklagede organisation havde styr på processen omkring håndtering af sikkerhedsbrud. Derfor er det vigtigt, at din organisation har (nedskrevne) regler for, hvordan et sikkerhedsbrud skal håndteres.

Vi anbefaler, at reglerne blandt andet tager stilling til:

Hvem skal et sikkerhedsbrud indrapporteres til? (Den som skal viderebehandle bruddet)
Hvilke oplysninger skal gives videre? (Hvad er der sket, hvornår og hvilke oplysninger er berørt af bruddet mv.)
Hvem tager stilling til om (og sørger for), at bruddet skal indberettes til Datatilsynet?
Hvem tager stilling til (og sørger for), om de registrerede personer skal orienteres?
Hvem følger op på sikkerhedsbruddet i forhold til de efterfølgende tiltag, som organisationen beslutter, at der skal ske, f.eks. ændring af procedurer eller øget fokus på et bestemt område?
Hvordan sikres det, at tidsfristen på 72 timer overholdes?

Er medarbejderne orienteret om reglerne for sikkerhedsbrud?

Det er også vigtigt, at I i din organisation sørger for, at alle medarbejdere forstår, hvad et sikkerhedsbrud er, så de er i stand til at vurdere, hvornår de skal indberette dette til den eller de udvalgte personer i jeres organisation. Derfor kan det være relevant at undervise og løbende sende remindere ud til medarbejderne om håndteringen af sikkerhedsbrud.

Teknisk komplicerede sikkerhedsbrud kan kræve involvering af eksterne parter

I nogle tilfælde kan sikkerhedsbruddet også være så teknisk kompliceret, omfattende eller af så alvorlig karakter, at det kræver involvering af eksterne parter, f.eks. jeres IT-leverandører og/eller eksterne rådgivere. Af hensyn til tidsfristen for indberetning af brud til Datatilsynet er det derfor vigtigt, at I hurtigt får kontaktet de relevante parter.

Få hjælp til håndtering af sikkerhedsbrud

Hos HjulmandKaptain har vi stor erfaring med håndtering af sikkerhedsbrud på vegne af kunder – hvad end det er i den første del af processen, hvor sikkerhedsbruddet skal håndteres og eventuelt indberettes til Datatilsynet, eller det er senere i forløbet, f.eks. i forbindelse med håndtering af en opfølgende sag hos Datatilsynet eller konkret opfølgning på selve sikkerhedsbruddet. Vi har et team på 5 medarbejdere, som beskæftiger sig med GDPR, og vi har derfor altid en person ledig, hvis der skal handles hurtigt.

Har din organisation brug for hjælp eller vejledning i forbindelse med håndtering af sikkerhedsbrud, er du altid meget velkommen til at kontakte os.