Databrud: Hvis skaden er sket?
Ifølge persondataforordningen skal lækager og brud på persondatasikkerheden anmeldes til Datatilsynet inden 72 timer efter, at bruddet er konstateret.
Underretningen skal beskrive karakteren af bruddet i et klart og forståeligt sprog.
Hvis der er sket et databrud skal du indberette følgende til Datatilsynet:
- Sikkerhedsbruddets karakter,
- Konsekvenser ved bruddet,
- Oplysning om hvordan skaden er (eller vil blive søgt) begrænset af den dataansvarlige
- Kontaktoplysninger på den dataansvarlige,
- Fortegnelse over datahåndtering og andre relevante forhold op til sikkerhedsbruddet, så myndighederne kan vurdere, om forordningen er overholdt, Det anbefales at få lavet en procedure for håndtering af situationer med databrud.
Det er også databrud, hvis en backup ikke kan genskabes, eller hvor en ansat i strid med reglerne videregiver personoplysninger.
Anmeldelse er dog ikke nødvendig, hvis det er usandsynligt, at bruddet indebærer en risiko for personers rettigheder eller frihedsrettigheder.Underretning om brud på datasikkerheden til den registrerede
Hvis et brud på persondatasikkerheden indebærer en høj risiko for den fysiske persons rettigheder eller frihedsrettigheder, skal den dataansvarlige underrette den registrerede med det samme.Underretningen skal beskrive karakteren af bruddet i et klart og forståeligt sprog.
I nogle tilfælde kan Datatilsynet pålægge den dataansvarlige at underrette de registrerede, hvis Datatilsynet bedømmer, at bruddet indebærer en høj risiko.
Datatilsynet vurderer som udgangspunkt risikoniveauet ved at se på, om data er ændret eller tabt (lav risiko), om data kan komme eller er kommet til ansattes kundskab (høj risiko), eller om data er videregivet til uvedkommende (meget høj risiko).
Senest opdateret 06-04-2018
FAQ
Kim Koch
