Opdateret vejledning om håndtering af sikkerhedsbrud
Datatilsynet har tidligere i år udsendt en opdateret vejledning om håndtering af brud på persondatasikkerheden. Vejledningen indeholder blandt andet et opdateret afsnit om anmeldelse af brud samt nye eksempler på, hvornår der er tale om et brud.
Virksomheder, som er dataansvarlige, er ansvarlige for at anmelde brud på datasikkerheden til Datatilsynet. Det gælder medmindre det er usandsynligt, at bruddet indebærer en risiko for de berørtes rettigheder. Udover at Datatilsynet skal underrettes, skal de berørte også informeres, hvis bruddet vil indebære en høj risiko for dem.
Forpligtelsen betyder, at det er helt afgørende, at virksomheder kan genkende databrud i praksis. Men hvad er et brud? Et brud er defineret som en hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Det kan i praksis tage mange former. Typer af databrud, som vi ofte ser, er blandt andet:
- Medarbejder videregiver ulovligt eller ved en fejl oplysninger
- Medarbejder får stjålet eller mister USB-stik eller computer
- Medarbejder glemmer at beskytte oplysninger mod uautoriseret adgang
- Virksomhed udsættes for ransomwareangreb eller anden hacking
- Virksomhed glemmer at slette data i de interne systemer
- Virksomhed giver for bred adgang til data på netværksdrev
Når uheldet er ude, gælder der en deadline for at anmelde det. Reglen er, at virksomheder skal anmelde bruddet til Datatilsynet uden unødig forsinkelse, og senest efter 72 timer. Hvis der går mere end 72 timer, skal Datatilsynet have en begrundelse for forsinkelsen.
IUNO mener
Design, standardindstillinger, og gode rutiner er vigtige for at have et tilstrækkeligt sikkerhedsniveau på plads. Men uanset sikkerhedsniveauet, bør virksomheder have en handlingsplan for håndtering af brud. Det er en fordel at beskrive præcis hvordan Datatilsynet skal informeres, og hvilke oplysninger, der skal forberedes inden anmeldelse.
IUNO anbefaler, at virksomheder udpeger én eller flere medarbejdere, som kan foretage anmeldelse af brud på datasikkerheden. Det er en god idé at udpege nogen, som i forvejen er involveret i håndtering af compliance-arbejdet. Alternativt kan databehandlere også foretage anmeldelser på vegne af dataansvarlige virksomheder. Allokeringen ændrer ikke på, at det overordnede ansvar er hos den dataansvarlige.
Vi har tidligere skrevet om, hvordan åbne personalefiler medførte et databrud her.
[Datatilsynets vejledning ”Håndtering af brud på persondatasikkerheden” af maj 2025]
Virksomheder, som er dataansvarlige, er ansvarlige for at anmelde brud på datasikkerheden til Datatilsynet. Det gælder medmindre det er usandsynligt, at bruddet indebærer en risiko for de berørtes rettigheder. Udover at Datatilsynet skal underrettes, skal de berørte også informeres, hvis bruddet vil indebære en høj risiko for dem.
Forpligtelsen betyder, at det er helt afgørende, at virksomheder kan genkende databrud i praksis. Men hvad er et brud? Et brud er defineret som en hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Det kan i praksis tage mange former. Typer af databrud, som vi ofte ser, er blandt andet:
- Medarbejder videregiver ulovligt eller ved en fejl oplysninger
- Medarbejder får stjålet eller mister USB-stik eller computer
- Medarbejder glemmer at beskytte oplysninger mod uautoriseret adgang
- Virksomhed udsættes for ransomwareangreb eller anden hacking
- Virksomhed glemmer at slette data i de interne systemer
- Virksomhed giver for bred adgang til data på netværksdrev
Når uheldet er ude, gælder der en deadline for at anmelde det. Reglen er, at virksomheder skal anmelde bruddet til Datatilsynet uden unødig forsinkelse, og senest efter 72 timer. Hvis der går mere end 72 timer, skal Datatilsynet have en begrundelse for forsinkelsen.
IUNO mener
Design, standardindstillinger, og gode rutiner er vigtige for at have et tilstrækkeligt sikkerhedsniveau på plads. Men uanset sikkerhedsniveauet, bør virksomheder have en handlingsplan for håndtering af brud. Det er en fordel at beskrive præcis hvordan Datatilsynet skal informeres, og hvilke oplysninger, der skal forberedes inden anmeldelse.
IUNO anbefaler, at virksomheder udpeger én eller flere medarbejdere, som kan foretage anmeldelse af brud på datasikkerheden. Det er en god idé at udpege nogen, som i forvejen er involveret i håndtering af compliance-arbejdet. Alternativt kan databehandlere også foretage anmeldelser på vegne af dataansvarlige virksomheder. Allokeringen ændrer ikke på, at det overordnede ansvar er hos den dataansvarlige.
Vi har tidligere skrevet om, hvordan åbne personalefiler medførte et databrud her.
[Datatilsynets vejledning ”Håndtering af brud på persondatasikkerheden” af maj 2025]
