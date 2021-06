Mange virksomheder har endnu ikke en procedure for håndtering af brud på persondatasikkerheden på plads. Har din virksomhed endnu ikke en klar eller en veldokumenteret procedure, er det på tide at komme i gang

I den daglige drift af en virksomhed anvendes der mange personoplysninger om eksempelvis kunder og medarbejdere. I løbet af en dag behandler virksomhederne altså ofte en række personoplysninger blandt andet til lønsedler, fakturaer, nyhedsbreve, kontrakter og andre opgaver. Der er derfor altid en risiko for, at der sker fejl, som har betydning for de personoplysninger, der behandles.

FAKTA Sikkerhedsbrud Der er mange former for sikkerhedsbrud. Tre eksempler på sikkerhedsbrud kan være: En mail med persondata sendes til en forkert modtager.

Personlige oplysninger slettet ved et uheld (tab af backups).

Persondata, der kun måtte sendes krypteres, bliver sendt ukrypteret.

Når det sker, oplever virksomheden i juridisk forstand et brud på persondatasikkerheden. Når en medarbejder eksempelvis kommer til at sende en mail, der indeholder personoplysninger, til en forkert modtager, er der tale om et sikkerhedsbrud, der i nogle tilfælde skal anmeldes til Datatilsynet.

Selvom reglerne om håndtering af brud på persondatasikkerheden er en del af gdpr, der trådte i kraft tilbage i 2018, er der stadig mange virksomheder, der ikke har proceduren på plads. En undersøgelse, som vi hos Visma Dataløn har foretaget blandt vores mere end 62.000 virksomhedskunder, primært smv’er, viser nemlig, at 30 pct. af virksomhederne endnu ikke har en plan for håndteringen af læk og andre brud på persondatasikkerheden, og det er ikke en god nyhed.

Drejebog og undervisning i håndtering af sikkerhedsbrud

Brud på persondatasikkerheden kan opstå alle steder. Derfor er det vigtigt, at virksomhederne sørger for at have en drejebog for præcist, hvad der skal ske, når der opstår sikkerhedsbrud. Det er dog ikke nok, at virksomhedsejeren eller ledergruppen kender proceduren.

Medarbejderne skal også undervises i, hvordan man identificerer et brud på persondatasikkerheden, og hvad de i givet fald skal gøre, når de ser et. For det er ofte medarbejderne, der opdager fejlene, da de sidder med opgaverne og dermed personoplysningerne til daglig.

Førstehjælp ved et sikkerhedsbrud

Når en virksomhed oplever et brud på persondatasikkerheden, skal den dataansvarlige straks vurdere, om bruddet er så alvorligt, at det skal anmeldes til Datatilsynet, eller om virksomheden kan nøjes med at dokumentere håndteringen af det i hændelsesloggen. Og her er det vigtigt at have tidsfristen for øje.

“ Et brud på persondata-sikkerheden er ikke i sig selv et brud på loven. Det kan det til gengæld være, hvis man ikke håndterer bruddet ordentligt.

Hvis et brud skal anmeldes til Datatilsynet, skal det nemlig ske inden for 72 timer. Det er ikke lang tid, når man skal identificere og vurdere bruddet – særligt hvis bruddet sker i weekenden eller lignende, hvor relevante medarbejdere måske er svære at få fat på.

Derfor er det ekstremt vigtigt, at alle medarbejdere ved præcis, hvad de skal gøre i situationen. Man kan sammenligne det med førstehjælp. Så snart en medarbejder opdager sikkerhedsbruddet, skal redningsproceduren gå i gang, for potentielt sidder der personer i den anden ende, hvis oplysninger kan blive misbrugt.

Hvornår skal jeg anmelde et brud?

Hvornår et brud på persondatasikkerheden er så alvorligt, at det skal anmeldes til Datatilsynet, findes der ikke et helt klart svar på. Det kommer an på situationen og hvilke data, der er omfattet af sikkerhedsbruddet. Man skal vurdere, om bruddet medfører en risiko for de personer, hvis data er påvirket.

Sikkerhedsbrud er nærmest uundgåelige

Er anmeldelsen til Datatilsynet ikke nødvendig, er det alligevel vigtigt, at man følger proceduren og dokumenterer alt om bruddet i sin virksomheds hændelseslog. Datatilsynet kan nemlig bede om at se hændelsesloggen, når de kommer på besøg i virksomheden.

FAKTA Hændelsesloggen Hændelsesloggen er virksomhedens opgørelse over sikkerhedsbrud. I den beskriver virksomheden sikkerhedsbruddet i korte, men meget præcise træk:

’Hvad skete der, hvornår skete det, og i hvilke systemer skete det.’

’Hvem og hvis persondata var involveret i bruddet? Hvad har virksomheden gjort for at stoppe ulykken og udbedre den skade, som bruddet har forvoldt?’ For at sikre sig, at hændelsesloggen bliver udfyldt, kan virksomheden give ansvaret for hændelsesloggen til en medarbejder, men der er ikke noget krav om det.

Det er hændelsesloggen, der viser, at virksomheden har taget hånd om de brud, der har været. Nogle virksomheder er bange for, at hændelsesloggen kan være med til at inkriminere dem, fordi den afslører, at der har været brud. Men et brud på persondatasikkerheden er ikke i sig selv et brud på loven. Det kan det til gengæld være, hvis man ikke håndterer bruddet ordentligt.

Datatilsynet forventer, at der sker sikkerhedsbrud, da de kan svære at undgå helt. Men det, Datatilsynet kigger efter, er, at virksomheden har taget hånd om de brud, der har været.





Du kan begynde her med vores tre tip til at få proceduren på plads:

1. Lær alle medarbejdere at genkende et brud på persondatasikkerheden. Når det kommer til sikkerhedsbrud, er det allermest essentielle, at alle medarbejdere, der arbejder med personoplysninger i virksomheden, trænes til at genkende et brud, så der kan tages hånd om det hurtigst muligt. Derfor bør I have fokus på kontinuerligt at træne medarbejderne i at spotte sikkerhedsbruddene, når de opstår.

2. Opret en drejebog for håndteringen. For at medarbejderne kan håndtere alle sikkerhedsbrud korrekt og hurtigt, er det vigtigt at have en køreklar drejebog, som beskriver alle faser af håndteringen. Har medarbejderne en drejebog i hånden, kan de nemlig hurtigt minimere den skade, som bruddet kan forvolde. En drejebog bør for eksempel indeholde:

Hvad medarbejderen skal gøre, når de opdager et brud.

Hvem i virksomheden, der skal informeres om hændelsen.

Hvem i virksomheden, der skal vurdere om hændelsen skal anmeldes til Datatilsynet.

FAKTA Den dataansvarlige Den dataansvarlige er den aktør, der afgør til hvilket formål og med hvilke midler, personoplysninger behandles.

En virksomhed er eksempelvis dataansvarlig for de personoplysninger, der behandles om medarbejderne.

3. Vurdér forretningsgang efter alle sikkerhedsbrud. Efter hver håndtering af et sikkerhedsbrud bør I overveje, om bruddet betyder, at forretningsgangen bør ændres. Det afhænger af bruddets alvor og omfang, og her skal I have flere parametre ind over i vurderingen: Hvilke personoplysninger drejer det sig om? Hvor høj er risikoen for dem, hvis oplysninger er omfattet af bruddet? Hvor stor er risikoen for, at det sker igen med nuværende forretningsgang?

