Menu
Persondataforordningen:

Det skal du huske ved sikkerhedsbrud

Når Persondataforordningen træder i kraft 25. maj 2018 skal man være ekstra påpasselig, hvis virksomheden oplever et sikkerhedsbrud. Man har nemlig kun 72 timer til at anmelde sikkerhedsbruddet til Datatilsynet.

Den nye persondataforordning træder i kraft den 25. maj. Dansk Mode & Textil hjælper din virksomhed med at sikre, at processen forløber så smertefrit som muligt.
Den nye persondataforordning træder i kraft den 25. maj. Dansk Mode & Textil hjælper din virksomhed med at sikre, at processen forløber så smertefrit som muligt.

14. maj 2018

Hvad er er et sikkerhedsbrud?

Datatilsynet har udgivet en vejledning om håndtering af brud på persondatasikkerheden, som kan læses her.

Et sikkerhedsbrud kan for eksempel være:

Brud

Underretning til Datatilsynet

Underretning til de registrerede

En stor tekstilvirksomheds it-system bliver udsat for et hackerangreb, der resulterer i, at virksomheden bl.a. får stjålet oplysninger om sine medarbejdere, herunder oplysninger om navn, adresse og personnummer

Ja, virksomheden skal anmelde bruddet til Datatilsynet. Dette skyldes, at oplysninger om navn, adresse og personnummer bl.a. kan misbruges til at begå identitetstyveri, og at bruddet derfor formodes at indebære en risiko for de berørte personer.

Ja, virksomheden skal underrette de berørte personer. Da en oplysning om navn, adresse og personnummer kan misbruges til identitetstyveri, skal de registrerede have mulighed for at træffe foranstaltninger, der kan nedbringe risikoen for at oplysning.

 

En HR-medarbejder sender ved en fejl lønsedler og ansættelseskontrakt til en forkert medarbejder i virksomheden. Det aftales, at medarbejderen sletter dokumenterne med det samme efter at være blevet opmærksom på fejlen.

Ikke nødvendigvis. Virksomheden kan vurdere, at bruddet ikke indebærer en risiko for den registrerede. Dette kan skyldes, at der er tale om et ”internt” brud på persondatasikkerheden og, at virksomheden har stor tillid til den pågældende medarbejder.

 

Hvis virksomheden vurderer, at der ikke er pligt til at underrette Datatilsynet, vil der heller ikke være pligt til at underrette den registrerede.

Et lille børnetøjsfirma har alle oplysninger om deres medarbejdere liggende på en computer, der ikke har backup. Computeren bliver ramt af vandskade, og oplysningerne kan ikke gendannes. På computeren lå bl.a. oplysninger om flere medarbejderes helbredsoplysninger

Hvis virksomheden kan sikre de registreredes rettigheder af anden vej end elektronisk, skal virksomheden ikke anmelde bruddet. I modsat fald der ske anmeldelse til Datatilsynet.

Idet den enkelte medarbejder skal kunne varetage sine interesser, skal der ske underretning af medarbejderne. Det er den enkelte medarbejder der er nærmest til vurdere, om det, der er gået tabt, er blevet reetableret fyldestgørende.

Du kan finde flere eksempler i Datatilsynets vejledning.

Hvad skal virksomheden gøre:

 Virksomheden skal udarbejde en procedure for, hvad virksomhedens medarbejdere skal gøre, hvis de konstaterer et sikkerhedsbrud. Eksempel på ”procedure for sikkerhedsbrud” findes i Dansk Mode & Textils Toolbox om Persondataforordningen.

Virksomheden skal sikre sig, at alle medarbejdere er bekendt med, hvem de skal underrette i tilfælde af brud, og at underretning skal ske straks for at overholde fristen på 72 timer overfor Datatilsynet.

Et sikkerhedsbrud skal anmeldes indenfor 72 timer fra virksomheden blev bekendt med sikkerhedsbruddet. Anmeldelse skal ske via virk.dk.

Hvornår skal de registrerede underrettes:

Hvis et sikkerhedsbrud medfører en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal der ske underretning til de registrerede.

Det er virksomheden selv, der har ansvaret for denne risikovurdering, og det anbefales, at man skriver sine overvejelser ned, så man senere kan huske, hvorfor man fx valgte ikke at underrette de registrerede.

Kontakt Dansk Mode & Textil for mere information omkring virksomhedens procedure for sikkerhedsbrud.

"