Hvis du får Databrud!

Sådan gør du hvis du har databrud

Hvad er et brud?

 

Et sikkerhedsbrud forekommer når din virksomhed eller organisation har en lækage på persondata, får data ødelagt eller simpelthen mister adgangen til data. Dette kan ske via et hackerangreb, læk af data på internettet ved en fejl eller lignende. Det afgørende for, om der er tale om et sikkerhedsbrud, som skal anmeldes er, om der er sket kompromittering af persondata.

 

“ Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret opbevaret eller på anden måde behandlet.” Datatilsynet 2,1

Læs mere på Datatilsynets side omkring ”Vejledning om håndtering af brud på person- datasikkerheden”

 

  • Et sikkerhedsbrud kan også være uautoriserede personer der får adgang til personoplysninger
  • Et personales bevist eller ubeviste videregivelse af data
  • Tab eller tyveri af PC, telefon, USB-stik o.l. indeholdende personoplysninger og hvor der ikke er truffet sikkerhedsforanstaltninger med stærke password, kryptering mm.

Hvad er ikke et brud der skal anmeldes?

 

En sikkerhedshændelse som hvis man eksempelvis er udsat for et hackerangreb, hvor hackeren ikke får adgang til persondata eller flere forgæves forsøg på log in, her vil der ikke være noget at anmelde.

DDos (Denial-of-service) angreb, hvor en hacker blot forsøger at genere jeres server så meget at den bryder sammen.

Tab af en telefon eller PC som IT afdelingen har mulighed for at kunne slette alt data på remotely.

Se flere eksempler på side 33-37  i denne vejledning:

 

Flowchart ved databrud, hvornår skal der ske anmeldelse af brud til Datatilsynet og hvornår skal der ske underretning af registrerede

Flowchart1400px

 

 

Hvornår skal jeg anmelde et brud?

 

Hvis persondata er blevet kompromitteret, ”det indebære en risiko for fysiske personers rettigheder eller frihedsrettigheder” skal myndighederne, det vil sige Datatilsynet, uden unødig forsinkelse og om muligt orienteres inden for 72 timer af den dataansvarlige.

Man skal ikke hænge sig for meget i begrebet ”om muligt”, for der skal være en meget god grund til at udsætte anmeldelsen og grunden til forsinkelses skal der kunne redegøres for til Datatilsynet.
Hvis man ikke har mulighed for at aflevere alle oplysninger straks, er der mulighed for ved orienteringen at begrunde, hvorfor man ikke kan levere alle oplysninger og hvornår man forventer at kunne. For eksempel vil det ofte være svært at vurdere hvor mange, der er berørt af sikkerhedsbruddet.

En databehandler skal på samme måde orientere den dataansvarlige ”hurtigst muligt”. Begge dele baseres på tidspunktet for opdagelsen af sikkerhedsbruddet, ikke det aktuelle kompromitteringstidspunkt.

Når et brud indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal dataansvarlig også underrette de fysiske personer om bruddet uden unødig forsinkelse.

 

Sådan anmelder du et brud

 

For at ensrette informations flowet og gøre det nemmere at anmelde et brud er der på Virk.dk etableret en løsning til anmeldelse af databrud, du finder et link til anmeldelse her:

Her finder du også yderligere vejledninger, samt trin for trin guide til indberetning af brud.

Anmeldelsesskemaet er dynamisk dvs. alt efter hvilke spørgsmål du besvarer, dukker der supplerende spørgsmål op.

HUSK IKKE AT SKRIVE DE BERØRTES PERSONLIGE OPLYSNINGER IND I SKEMAET.

Nedenstående punkter er vigtige at overveje inden udfyldelse, da de altid vil indgå i blanketten.

  • Hvilken form for sikkerhedsbrud bliver anmeldt? er der sket tab af oplysninger, sikkerhedsbrud, brud på fortroligheden eller en integritetskrænkelse. Der er stor forskel på, om den databruddet omhandler, har fået data slettet eller data offentliggjort!
  • Hvilken teknologi (hardware/software) er involveret?
  • Hvilke personoplysninger er der blevet lækket? konsekvenserne for de berørte personer hænger sammen med hvor følsomme oplysningerne er!
  • Hvor nemt kan man identificere den/de udsatte personer?
  • Hvilke konsekvenser giver det for den/de udsatte personer?
  • Er der tale om børn eller særligt udsatte personer?
  • Hvor mange personer er blevet berørt af denne episode?

Hvad sker der så nu?

 

Efter udfyldelse og indsendelse af blanketten på Virk.dk sendes den videre til Datatilsynet, hvis det bliver aktuelt med yderligere oplysninger, kan du blive kontakte af Datatilsynet efterfølgende.

VIGTIGT husk at downloade en kopi af den udfyldte blanket når du har sendt den. Din kopi er dit bevis på, at du har foretaget en indberetning, Erhvervsstyrelsens sletter anmeldelser efter 30 dage.

 

Hvad gør jeg helt præcis?

 

Står du i situationen, hvor der har været databrud i din virksomhed eller organisation, kontakt os på tlf. 8844 0808 vi kan hjælpe med udfyldelse af anmeldelsen samt bistå ved yderligere kontakt til Datatilsynet.

Du kan få hjælp til at udarbejde en beredskabsplan eller få foretaget et sikkerhedsgennemsyn ved at kontakte os. Ring uforpligtende til Per Løkken på tlf. 2331 5014 eller skriv en mail til pl@pds.as

 

Bliv klogere på brud, sikkerhed, konsekvenser og tilsyn læs mere herunder:

Brud på sikkerhed, konsekvenser og tilsyn