Efter den 25. maj 2018 skal brud på persondatasikkerheden anmeldes til Datatilsynet. Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer efter, at virksomheden er blevet bekendt med bruddet. Hvis ikke anmeldelsen sker inden 72 timer, skal den ledsages af en begrundelse for forsinkelsen.
Datatilsynet har sidst i februar offentliggjort en vejledning på 37 sider om håndtering af brud på persondatasikkerheden. AutoBranchen Danmark har kogt de 37 sider ned til en koncentreret maggi-terning her. Se en mere udførlig uddybning i persondatamiljøet på www.autobranchendanmark.wp.prod.combell.peytz.dk.
Selve vejledningen fra Datatilsynet findes på www.datatilsynet.dk under Vejledninger, databeskyttelsesforordningen.
Kravet om anmeldelse er kun, hvis der er personoplysninger involveret i bruddet.
Hvilke brud på persondatasikkerheden kræver anmeldelse?
De brud på personsikkerheden, hvor der er en risiko for fysiske personers rettigheder skal anmeldes.
I vejledningen er et sikkerhedsbrud fx:
- Hvis virksomhedens it-systemer med personoplysninger ikke er tilstrækkeligt sikret, så udefrakommende får adgang til systemerne (fx ved hacking).
- Hvis virksomheden uden grund videregiver eller ændrer personoplysningerne.
- Hvis virksomheden ulovligt eller som følge af et hændeligt uheld (fx brand eller oversvømmelse) i en periode ikke har adgang til eller ender med at tilintetgøre personoplysningerne.
- Hvis personer, der ikke er autoriserede til det får adgang til personoplysninger – dette kan både være personer uden for eller inden for virksomheden.
- Virksomhedens medarbejdere ændrer eller sletter personoplysninger ved et uheld.
- Hvis der er brud på virksomhedens server, hvor uvedkommende har fået indsigt i personoplysninger – fx kundedatabasens CPR-oplysninger, kreditoplysninger eller lign.
- Hvis medarbejderne videregiver (bevidst eller ubevidst) personoplysninger om en kunde til en anden kunde eller andre uvedkommende personer.
- Hvis manglende kryptering af virksomhedens hjemmeside indeholdende fx et kundelogin resulterer i, at en eller flere uvedkommende får direkte adgang til kundens personoplysninger.
Virksomheden skal således straks efter at være blevet bekendt med bruddet på persondatasikkerheden vurdere sandsynligheden for, at bruddet indebærer en risiko for de berørte personers rettigheder.
Forhold, som altid skal indgå i en sikkerhedsvurdering:
- Typen af sikkerhedsnedbrud, herunder om der er sket tab af oplysninger, brud på fortroligheden eller integritetskrænkelse.
- Oplysningernes art – jo mere følsom oplysning fx helbredsoplysning, des større konsekvens.
- Oplysningens omfang, herunder mængden af personoplysninger og tidsmæssig udstrækning.
- Risikoen for at registrerede kan identificeres – er oplysningerne krypteret?
- Konsekvenser bruddet kan have for de registrerede personer.
- Hvorvidt bruddet omfatter særlige registrerede, fx børn eller særligt udsatte.
- Antallet af berørte fysiske personer.
Det samlede aktuelle risikobillede er således afgørende for, om et brud på persondatasikkerheden kræver anmeldelse til Datatilsynet.
Et brud på persondatasikkerheden skal ikke anmeldes, hvis bruddet ikke vurderes til at få konsekvenser for de berørte personer. Det er virksomheden, der har bevisbyrden i forhold til, om det er usandsynligt, at et brud på persondatasikkerheden har eller kan få konsekvenser for de berørte personer.
Hvornår skal de registrerede underrettes om sikkerhedsbruddet?
Når et brud på persondatasikkerheden vil indebære en høj risiko for de berørte personers rettigheder, skal disse personer underrettes om sikkerhedsbruddet uden unødig forsinkelse så snart bruddet er påvist. Her er det ikke nok kun at anmelde bruddet til Datatilsynet.
Formålet med underretningen er bl.a., at de berørte personer kan træffe de fornødne forholdsregler. Jo mere alvorlige konsekvenser bruddet kan medføre, des større vil risikoen være for de berørte personer. Hvis en virksomhed ved en fejl fx kommer til at offentliggøre CPR-numre og fejlen først opdages efter noget tid, så vil virksomheden være nødt til at foretage underretningen.
Virksomheden skal kunne begrunde, hvorfor en underretning ikke er sket.
Hvordan skal der anmeldes til Datatilsynet?
Datatilsynet kommer til at etablere en fælles løsning for anmeldelse af sikkerhedshændelser, som vil være tilgængelig fra den 25. maj 2018.
Hvad sker der hvis der ikke sker anmeldelse?
Hvis reglerne ikke overholdes kan Datatilsynet udtale kritik af dette eller udstede et påbud om at gøre noget inden en given frist. Desuden kan der også gives bøder til virksomheden.
Hvilke forpligtelser har virksomhedens databehandlere?
Databehandleren har pligt til uden unødig forsinkelse at underrette virksomheden som dataansvarlig, hvis der sker brud på personsikkerheden.
Husk at dokumentere alle brud på persondatasikkerheden
Virksomhederne skal dokumentere alle brud på persondatasikkerheden (uanset om de skal anmeldes til Datatilsynet eller ej), og følgende skal bevares og kunne dokumenteres: Dato og tidspunkt. Beskrivelse af hændelsen, årsag, hvilke typer oplysninger, konsekvenser, hvilke afhjælpende foranstaltninger, anmeldelse til Datatilsynet eller ej (herunder begrundelse), underretning af de berørte personer eller ej (herunder begrundelse).
Virksomheder har kun pligt til at udlevere dokumentation til Datatilsynet, hvis tilsynet beder om det.
