Brud på datasikkerheden – dataslip

Her får du et overblik over, hvordan din virksomhed skal forholde sig, hvis der sker brud på datasikkerheden.

Hvad er et dataslip
Et brud på datasikkerheden er, når en hændelse fører til f.eks. ændring, tab, tilintetgørelse, uautoriseret videregivelse af eller adgang til personoplysninger, som er behandlet.
Nogle eksempler kunne være, hvis en medarbejder kom til at sende en statusudtalelse til den forkerte kommune, hvis en bærbar computer bliver stjålet, hvis lokalet, hvor der opbevares papiroplysninger brænder ned, eller man har været udsat for et hackerangreb.

Hvorfor skal du reagere på et dataslip
Du skal reagere på et dataslip, fordi du er forpligtet til det ifølge persondataforordningen, GDPR som den også kaldes. Det kan få konsekvenser for din virksomhed, hvis du ikke anmelder. Når du anmelder et dataslip, vil Datatilsynet først vurdere risikoen for de berørte personer. Det vil sige at de laver den samme analyse, du tidligere har lavet. Det gør de for at undersøge om de er enige i din analyse og efterfølgende vurdere alvorligheden af dataslippet. Herefter vil Datatilsynet tage stilling til, om der skal foretages yderligere i sagen, herunder om de skal udtale kritik eller melde sagen til politiet.

Hvis du ikke reagerer på et dataslip, risikerer du, at Datatilsynet undrer sig over, hvorfor netop din virksomhed aldrig har dataslip. Dette kan fører til et besøg fra Datatilsynet, hvor de i særdeleshed vil interessere sig for datasikkerheden i virksomheden.

Hvad gør du ved dataslip
Du har pligt til at gøre flere ting ved et brud på datasikkerheden – et dataslip. Du skal anmelde det til Datatilsynet. Det gør du via www.virk.dk. Dette skal du gøre snarest muligt, men senest indenfor 72 timer efter du er blevet opmærksom på dataslippet.
Inden du melder dit dataslip til Datatilsynet skal du undersøge en række ting

Dataslip 1 2 3

  1. Det første du skal gøre, er at få et overblik over, hvor mange der er berørt af dataslippet, og hvilken kategori af oplysninger, som er berørt af dataslippet. Disse oplysninger skal du bruge, når du melder dataslippet til Datatilsynet.
  2. Inden du melder et dataslip til Datatilsynet Skal du tage stilling til, om dataslippet betyder noget for de berørte.
  3. Hvilke konsekvenser kan dette have for de personer hvis data, der er berørt af dataslippet? Vil deres data f.eks. kunne blive delt på internettet, eller vil den mistede data ikke være mulig at genskabe, og kan det få konsekvenser for de berørte.
  4. Hvis der er høj risiko for, at dataslippet kan have en konsekvens for de berørte, skal de berørte kontaktes. Dette skal ske uden unødig forsinkelse.
  5. Ved vurderingen af om risikoen er høj, skal du i din vurdering tage høje for, om det kan få alvorlige konsekvenser for de berørte. Hvis risikoen er høj, skal de berørte skal kontaktes.
  6. Inden du kontakter de berørte, skal du lave en konsekvensanalyse. Analysen skal indeholde en analyse af hvilke konsekvenser dataslippet kan få for de berørte og en analyse af hvor stor sandsynligheden der er for at dataslippet får en af disse konsekvenser.
  7. Når du kontakter de berørte, skal du oplyse dem hvilken data det drejer sig om og hvad du forstiller dig, det kan have af konsekvenser for dem – din konsekvensanalyse. Du skal også oplyse hvilke forholdsregler i som virksomhed har taget for at det ikke gentager sig. Endelig skal du oplyse navn og kontaktoplysninger, på den ansvarlige kontaktperson i din virksomhed.
  8. Det sidste du skal gøre, inden du anmelder dataslippet til Datatilsynet er, at du skal overveje, om det skal have nogle konsekvenser for, hvordan databehandlingen foregår i virksomheden. Kan der ændres på nogle arbejdsgange for at sikre at det samme dataslip ikke sker igen.
  9. Til sidst går du ind på www.virk.dk, her søger du på ”Datatilsynet”, så skulle dette billede gerne komme frem (klik der hvor pilen peger)

Følg herefter guiden på hjemmesiden. Du skal logge ind med NemID. Vær opmærksom på at du indberetter efter persondataforordningen.
Husk at gemme en kopi af din indberetning på din computer.

Du skal undtagelsesvis ikke indberette dataslip til Datatilsynet, hvis det er usandsynligt, at dataslippet får nogen konsekvenser for de berørte personer. Det er vigtigt, at du er helt sikker i din vurdering, da dette kan få alvorlige konsekvenser i form af f.eks. bøde, hvis du skulle have anmeldt til Datatilsynet.

Du skal altid selv registrere brud på datasikkerheden og eventuelle afhjælpende foranstaltninger i dit eget system. Dette er typisk noget Datatilsynet vil bede om at se, når de kommer på besøg i din virksomhed. Du skal altid notere

  1. Dato og tidspunkt for bruddet.
  2. Hvad skete der i forbindelse med bruddet?
  3. Hvad var årsagen til bruddet?
  4. Hvilke typer af personoplysninger er omfattet af bruddet?
  5. Hvilke konsekvenser har bruddet for de berørte personer?
  6. Hvilke afhjælpende foranstaltninger er truffet?
  7. Er bruddet meldt til Datatilsynet?

Hvis du er i tvivl om noget, så kontakt LOS.