Hvad er et brud på persondatasikkerheden?
Databeskyttelsesforordningen definerer et brud på persondatasikkerheden sådan:
“Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
Et brud på persondatasikkerheden er samtidig en såkaldt informationssikkerhedshændelse. ISO 27000-standarden definerer dette begreb som:
”En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være relevant for sikkerheden …”
Databeskyttelsesforordningens definition af et brud på persondatasikkerheden omfatter kun de informationssikkerhedshændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Derfor er en informationssikkerhedshændelse ikke altid være et brud på persondatasikkerheden.
Et eksempel kan være forgæves login. Det kan betragtes som en sikkerhedshændelse, men der er ikke tale om et brud på persondatasikkerheden.
Undgå datatab
Med SkoleIT Hosted Kontor kan I arbejde sikkert med skolens persondata.
Læs mere eller Ring 4358 4575
Typer af brud på persondatasikkerheden
Et brud på persondatasikkerheden kan både forårsages af tekniske og menneskelige hændelser. Der kan også være tilfælde, hvor et hændeligt uheld (brand eller oversvømmelse), kan medføre tilintetgørelse af personoplysningerne.
Eksempler på brud:
Når uautoriserede personer i eller uden for den/de dataansvarliges organisation får adgang til personoplysninger
Når den dataansvarliges medarbejdere ændrer eller sletter personoplysninger ved et uheld
Når uvedkommende hacker en server og får indsigt i personoplysninger. F. eks. CPR-oplysninger, kreditkortoplysninger el.lign.
Når den dataansvarliges medarbejdere enten bevidst eller ubevidst videregiver personoplysninger om en elev/ansat til en anden elev/ansat – eller til andre uvedkommende.
Når uvedkommende får direkte adgang til personoplysninger, fordi der mangler kryptering af den dataansvarliges hjemmeside
Mulige konsekvenser af et brud på persondatasikkerheden
Hvis et brud ikke håndteres på en passende og rettidig måde, så kan det medføre skade af fysisk, materiel eller immateriel karakter. Udover tab af kontrol over deres personoplysninger kan det have betydelige økonomiske eller sociale konsekvenser så som diskrimination, skade på omdømme, identitetstyveri eller -svig og finansielle tab.
Hvem anmelder brud?
Det er som udgangspunkt den dataansvarlige, som anmelder et brud på persondatasikkerheden til Datatilsynet.
Den dataansvarlige kan give fuldmagt til en eller flere medarbejdere, så de kan anmelde brud på persondatasikkerheden til Datatilsynet på vegne af den dataansvarlige. F.eks. en medarbejder som i forvejen er involveret i håndteringen af brud på persondatasikkerheden hos den dataansvarlige.
En databehandler kan også anmelde et brud til Datatilsynet på vegne af den dataansvarlige,
hvis databehandleren har bemyndigelse og det fremgår af databehandleraftalen.
Det overordnede juridiske ansvar for at anmelde et brud på persondatasikkerheden, og at det sker rettidigt, ligger hos den dataansvarlige. Også selvom den dataansvarlige har bemyndiget databehandleren til at anmelde bruddet til Datatilsynet.
Hvordan anmeldes brud?
Brud skal anmeldes til datatilsynet uden unødig forsinkelse og hvis muligt senest 72 timer, efter at den dataansvarlige har fået kendskab til bruddet. Det gælder også udenfor normal kontortid, i weekender og på helligdage. Hvis tidsfristen overskrides, skal anmeldelsen ledsages af en begrundelse for forsinkelsen.
Det er ikke tilstrækkelig at den dataansvarlige formoder, at der er sket et brud. Det skal den dataansvarlige selv undersøge nærmere, inden et brud anmeldes.
I skrivende stund arbejdes der på at etablere en ny fælles løsning på Virk.dk for anmeldelser af sikkerhedshændelser. Den digitale indberetningsløsning vil være klar, når databeskyttelsesforordningen træder i kraft d. 25. maj 2018.
Hvilke oplysninger skal Datatilsynet bruge?
Den dataansvarlige skal som minimum oplyse:
- en beskrivelse af bruddets karakter og, hvis det er muligt, kategorier af personoplysninger og registrerede
- navn og kontaktoplysninger for databeskyttelsesrådgiveren, eller hvor yderligere oplysninger kan findes
- en beskrivelse af sandsynlige konsekvenser af bruddet
- en beskrivelse af foranstaltninger, som den dataansvarlige enten har gjort eller foreslår at gøre for at håndtere bruddet og, hvis det er relevant, foranstaltninger for at begrænse mulige skadevirkninger
Hvis den dataansvarlige ikke er i stand til at afgive disse oplysningerne samlet, kan det ske trinvist. Delvise oplysninger er bedre end ingen oplysninger.
Oplysningerne skal hjælpe med til, at Datatilsynet får mulighed for at følge og vurdere, at håndteringen af bruddet sker på den mest hensigtsmæssige måde.
Afhængig af den pågældende sag, kan det være nødvendigt at den dataansvarlige giver yderligere informationer.
Hvilke brud skal anmeldes?
Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Kun hvis det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder skal det ikke anmeldes.
Det er den dataansvarliges ansvar at lave en specifik, konkret og reaktiv risikovurdering, af de berørte fysiske personers rettigheder: på den ene side skal sikkerhedsforanstaltninger, som kan reducere risikoen for de berørte personer tages i betragtning, og på den anden side omstændigheder ved bruddet, der kan forhøje risikoen.
Anmeldelsen skal ske så snart den dataansvarlige får kendskab til situationen. Følger man ikke reglerne om anmeldelse, så kan Datatilsynet udtale kritik, udstede et påbud og i sidste ende give en bøde til den dataansvarlige.
En sådan risikovurdering bør altid indeholde:
Er personoplysningerne f.eks. slettet eller offentliggjort?
Oplysningernes art vil som udgangspunkt have indflydelse på risikovurderingen, fordi jo mere følsomme personoplysninger, det drejer sig om, desto større konsekvenser kan et sikkerhedsbrud få for de berørte personer. Der vil med andre ord være forskellige menneskelige konsekvenser forbundet med offentliggørelse af hhv. CV og oplysninger, der vedrører strafbare forhold eller sygdom.
Alle omstændigheder omkring et sikkerhedsbrud skal tages i betragtning, og der kan være særlige hensyn, der kan gøre sig gældende for de berørte personer. Det handler om omfanget af bruddet, dels omkring mængden af personoplysninger, der er berørt, og dels hvor længe oplysningerne har været tilgængelige for uvedkommende.
Der skal tages stilling til, hvor nemt det vil være at identificere en person ud fra de kompromitterede personoplysninger eller ved at matche oplysningerne med anden information.
Den dataansvarlige kan beskytte oplysningerne med kryptering, så det ikke umiddelbart er muligt at identificere personer.
Ovenover er der nævnt eksempler på konsekvenser af fysisk, materiel eller immateriel karakter i “Mulige konsekvenser af et brud på persondatasikkerheden”.
Kompromitterende oplysninger om særligt sårbare eller udsatte personer samt børn, kan imidlertid vurderes at have større skadevirkning.
Det har stor betydning for risikovurderingen, hvis den dataansvarlige ved, hvor oplysningerne er endt. Hvis oplysningerne er i hænderne på kriminelle personer, der har i sinde at misbruge oplysningerne, er det en alvorlig sag og skal anmeldes til datatilsynet. Hvis oplysningerne derimod ved en fejl er havnet hos en forkert modtager, som den dataansvarlige har tillid til og forventer vil tilbagelevere eller destruere oplysningerne, så er en anmeldelse ikke nødvendig.
Den dataansvarlige bør sikre sig dokumentation for, at denne modtager ikke længere råder over oplysningerne, hvis det er muligt.
Det kan få betydning for risikovurderingen, hvis der er tale om oplysninger om børn, særligt udsatte, offentlige kendte eller personer under vidnebeskyttelse.
Betydningen af et brud vil stige i takt med antallet af berørte personer, men oplysninger om en enkelt eller få personer kan også have alvorlige konsekvenser.
Se eksempler (på brud og hvem der skal underrettes) i Bilag B s. 33-37 i Datatilsynets “Vejledning om håndtering af brud på persondatasikkerheden”.
Hvilke brud skal ikke anmeldes?
Hvis det er usandsynligt, at bruddet indebærer konsekvenser for de berørte personers rettigheder eller frihedsrettigheder, skal det ikke anmeldes til Datatilsynet.
Det kan eksempelvis skyldes:
- At den dataansvarlige har truffet sikkerhedsforanstaltninger (kryptering af harddisk m.m.)
- At den dataansvarliges griber hurtigt ind, så personoplysninger ikke ender hos uvedkommende
- At den dataansvarlige kan konstatere, at personoplysninger ikke er kommet i hænderne på uvedkommende
Den dataansvarlige skal kunne dokumentere, at der foreligger omstændigheder, der gør, at det er usandsynligt, at et brud har eller kan få konsekvenser for de berørte personer. Det er den Dataansvarliges bevisbyrde.
Selvom bruddet ikke skal anmeldes, så er den dataansvarlige forpligtet til at foretage intern dokumentation af bruddet.
(Vær opmærksom på, at risikobilledet kan ændre sig med tiden, og det kan være nødvendigt at anmelde bruddet senere. F.eks. hvis det viser sig, at krypteringen på en mistet harddisk ikke er stærk nok. )
Den dataansvarlige har pligt til at underrette den registrerede, uden unødig forsinkelse, når der er tale om et brud, der indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Underretningen skal gives i et klart og forståeligt sprog, beskrive bruddets karakter og som minimum indeholde:
- Navn og kontaktoplysninger for databeskyttelsesrådgiveren, eller hvor yderligere oplysninger kan findes
- en beskrivelse af sandsynlige konsekvenser af bruddet
- en beskrivelse af foranstaltninger, som den dataansvarlige enten har gjort eller foreslår at gøre for at håndtere bruddet og, hvis det er relevant, foranstaltninger for at begrænse mulige skadevirkninger.
Hvis en af følgende betingelser er opfyldt, så er det ikke nødvendigt at underrette den registrerede:
- Den dataansvarlige har lavet passende tekniske og organisatoriske beskyttelsesforanstaltninger
- Den dataansvarlige har truffet efterfølgende foranstaltninger, der gør, at en høj risiko ikke længere er reel
- Det kræver en uforholdsmæssig indsats. Der foretages i stedet en offentlig meddelelse eller en tilsvarende foranstaltning, så de registrerede underrettes på en effektiv måde
Den dataansvarlige skal dokumentere sin vurdering, da det gælder som bevisbyrde.
Datatilsynet kan kræve, at de registrerede underrettes.
Intern dokumentation
Den dataansvarlige har til opgave at dokumentere alle brud på persondatasikkerheden. Det gælder uanset om bruddet bør anmeldes til Datatilsynet eller ej. Denne dokumentationspligt hænger sammen med forordningens princip om ansvarlighed eller ”accountability“, men den dataansvarlige skal kun udlevere dokumentationen, hvis Datatilsynet anmoder om indsigt.
Dokumentationen skal indeholde de faktiske omstændigheder ved bruddet, dets virkninger og afhjælpende foranstaltninger. Der stilles dog ikke specifikke formkrav så det står derfor den dataansvarlige frit for, hvordan oplysningerne skal indsamles og præsenteres.
Minimumskrav til dokumentationen:
- Dato og tidspunkt for bruddet
- Hændelsesforløb
- Årsagen til bruddet
- Personoplysninger omfattet af bruddet
- Konsekvenser for de berørte personer
- Afhjælpende foranstaltninger
- Om bruddet er anmeldt til Datatilsynet og hvornår
- Hvis nej, begrundelse for ikke at anmelde
- Om de berørte personer er underrettet
- Hvis nej, begrundelse for ikke at underrette
Den dataansvarlige bør sørge for at dokumentere sine begrundelser for alle væsentlige beslutninger, der bliver truffet som følge af bruddet. Hvis bruddet ikke anmeldes til Datatilsynet, skal den dataansvarlige lave en redegørelse for, hvorfor denne har vurderet, at bruddet ikke ville medføre risiko for de registrerede og deres rettigheder.
Det samme gælder i forhold til underretning af de registrerede.
Lav en plan for anmeldelser
Det er vigtigt, at I som skole sikrer jer, at I har en effektiv procedure for at anmelde brud på persondatasikkerheden til Datatilsynet og underrette de registrerede. Når den dataansvarlige (og databehandlere) udarbejder denne plan bør den indeholde forhold om rapportering og vurdering af hændelsen, ansvarsfordeling, håndtering, evaluering og forbedring. Tænk også over hvilke tekniske og organisatoriske foranstaltninger, der kan indføres for at sikre, at et brud på persondatasikkerheden bliver opdaget.
Vær opmærksom på, hvad der skal til for at:
- Den dataansvarlige/databehandleren kan rapportere bruddet internt i organisationen (beskrive fordelingen af ansvar for håndteringen af bruddet)
- Den dataansvarlige/databehandleren kan stoppe bruddet
- Den dataansvarlige kan lave en risikovurdering af bruddet
- Den dataansvarlige kan underrette Datatilsynet inden for 72 timer og de registrerede uden unødig forsinkelse
- Den dataansvarlige kan dokumentere brud på persondatasikkerheden
Husk at medregne alle databehandlere og underdatabehandlere, så der er taget højde for brud på persondatasikkerheden hos disse parter.
Kilder
Datatilsynet: “Vejledning om håndtering af brud på persondatasikkerheden”.