Hvad er databrud?
For at kunne håndtere et databrud korrekt, skal du først og fremmest kunne genkende et databrud.
Der er tale om et brud på persondatasikkerheden, såfremt det ”fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.
Det vil kort sagt sige, at såfremtpersonoplysninger utilsigtet bliver slettet, ændret eller videregivet, så er der sket et brud på persondatasikkerheden.
5 steps ved håndtering af databrud
Når du skal håndtere et databrud, anbefaler advokat Henrik Norup, at du følger disse fem steps:
1) Skab overblik
Du bør først og fremmest skabe dig et umiddelbart overblik over databruddet. Du bør derfor få klarhed over:
Hvilke data vedrører det?
- Hvor mange og hvilke personer er udsat?
- Hvor længe har sikkerhedsbruddet stået på?
- I hvilken forbindelse er sikkerhedsbruddet sket?
- Er data stadig tilgængelig for uvedkommende?
2) Stands skaden
Dernæst bør du forsøge at standse skaden. Hvordan skaden bedst kan standes, afhænger af databruddets karakter.
Erfaringsmæssigt sker rigtig mange databrud ved, at man sender en e-mail med personoplysninger til den forkerte modtager. I disse tilfælde er det rigtig nemt at skabe sig et overblik over databruddets omfang. Du vil herefter kunne skrive til den/de forkerte modtagere og bede dem slette den forrige mail samt bekræfte, at mailen er slettet.
Hvis bruddet har en helt anden karakter og du har behov for at fjerne søgeresultater fra Google, kan du læse mere herom her.
3) Dokumentér omstændighederne ved databruddet
Når der har været et databrud, skal du nedskrive og dokumentere de faktiske omstændigheder ved bruddet på persondatasikkerheden, hvad det har betydet for de berørte og hvilke afhjælpende foranstaltninger, du har foretaget.
4) Anmeld til datatilsynet
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet.
Kun såfremt det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder kan du undlade at anmelde bruddet.
Anmeldelse skal ske senest 72 timer efter, at man i virksomheden er blevet bekendt med databruddet og anmeldelse skal ske her.
5) Underretning til de berørte
Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal du underrette den/de berørte uden unødig forsinkelse.
Hvornår bruddet indebærer en høj risiko, afhænger af det konkrete databrud. I den forbindelse bør du foretage en risikovurdering, hvor du vurderer:
- Hvad konsekvensen er for de berørte og
- Hvor sandsynligt er det, at bruddet vil få konsekvenser
Søger du rådgivning om GDPR?
Har din virksomhed været udsat for et databrud og har du behov for juridisk bistand til at håndtere bruddet, er du velkommen til at rette henvendelse til advokat Henrik Norup og få et uforpligtende svar på, hvordan vi kan hjælpe dig med opgaven.