Databrud og persondataret
Henrik Norup
Advokat Henrik Norup 17. december 2019

Databrud? Hvad nu?

Databrud bør altid tages seriøst, og med de nye GDPR-regler er der specifikke krav til, hvordan og hvor hurtigt du skal reagere, hvis du har haft et databrud. Advokat Henrik Norup giver dig her en plan til, hvordan du håndterer databrud.

Hvad er databrud?

For at kunne håndtere et databrud korrekt, skal du først og fremmest kunne genkende et databrud.

Der er tale om et brud på persondatasikkerheden, såfremt det ”fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Det vil kort sagt sige, at såfremtpersonoplysninger utilsigtet bliver slettet, ændret eller videregivet, så er der sket et brud på persondatasikkerheden.

5 steps ved håndtering af databrud

Når du skal håndtere et databrud, anbefaler advokat Henrik Norup, at du følger disse fem steps:

1) Skab overblik

Du bør først og fremmest skabe dig et umiddelbart overblik over databruddet. Du bør derfor få klarhed over:

Hvilke data vedrører det?

  • Hvor mange og hvilke personer er udsat?
  • Hvor længe har sikkerhedsbruddet stået på?
  • I hvilken forbindelse er sikkerhedsbruddet sket?
  • Er data stadig tilgængelig for uvedkommende?

2) Stands skaden

Dernæst bør du forsøge at standse skaden. Hvordan skaden bedst kan standes, afhænger af databruddets karakter.

Erfaringsmæssigt sker rigtig mange databrud ved, at man sender en e-mail med personoplysninger til den forkerte modtager. I disse tilfælde er det rigtig nemt at skabe sig et overblik over databruddets omfang. Du vil herefter kunne skrive til den/de forkerte modtagere og bede dem slette den forrige mail samt bekræfte, at mailen er slettet.

Hvis bruddet har en helt anden karakter og du har behov for at fjerne søgeresultater fra Google, kan du læse mere herom her.

3) Dokumentér omstændighederne ved databruddet

Når der har været et databrud, skal du nedskrive og dokumentere de faktiske omstændigheder ved bruddet på persondatasikkerheden, hvad det har betydet for de berørte og hvilke afhjælpende foranstaltninger, du har foretaget.

4) Anmeld til datatilsynet

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet.

Kun såfremt det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder kan du undlade at anmelde bruddet.

Anmeldelse skal ske senest 72 timer efter, at man i virksomheden er blevet bekendt med databruddet og anmeldelse skal ske her.

5) Underretning til de berørte

Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal du underrette den/de berørte uden unødig forsinkelse.

Hvornår bruddet indebærer en høj risiko, afhænger af det konkrete databrud. I den forbindelse bør du foretage en risikovurdering, hvor du vurderer:

  1. Hvad konsekvensen er for de berørte og
  2. Hvor sandsynligt er det, at bruddet vil få konsekvenser

Søger du rådgivning om GDPR?

Har din virksomhed været udsat for et databrud og har du behov for juridisk bistand til at håndtere bruddet, er du velkommen til at rette henvendelse til advokat Henrik Norup og få et uforpligtende svar på, hvordan vi kan hjælpe dig med opgaven.

Del artiklen:

Vil du vide mere?

Se alle nyheder og artikler om persondataret