Ingen har lyst til at anmelde et databrud
Det er klart, at ingen ønsker, at deres virksomhed bliver involveret i et brud på datasikkerheden. Men hvis I ender i denne situation, kan den rette reaktion være med til at mindske jeres ansvar og hjælpe med at bevare jeres gode omdømme som databehandler. Sørg derfor for at planlægge, hvordan I vil håndtere et brud på datasikkerheden, inden det sker. En af de vigtigste komponenter er, hvordan I vælger at underrette myndighederne, jeres kunder og andre berørte. Bloggen her handler om, hvordan man bør anmelde et databrud.
Hvornår skal man rapportere et databrud til myndighederne?
Ifølge GDPR skal I rapportere ethvert brud på datasikkerheden, der sandsynligvis vil medføre en risiko for enkeltpersoners rettigheder og friheder, inden for 72 timer. Så snart I opdager, at der er sket et brud på datasikkerheden, skal I foretage en risikovurdering, hvor I noterer følgende:
- Hvor mange mennesker blev berørt?
- Hvilke typer personlige data er berørt?
- Hvilke risici er der for eksponering af personoplysninger?
- Hvordan vil I reagere?
Indsamling af disse oplysninger vil hjælpe jer med at underrette Datatilsynet, som er datamyndigheden i Danmark. Man kan anmelde et databrud på Datatilsynets hjemmeside her. Bemærk, at tidsrammen på 72 timer starter fra det øjeblik, man bliver opmærksom på bruddet, og man får ikke ekstra tid til at afslutte éns undersøgelse. At udsætte rapporteringen af et brud kan resultere i yderligere bøder og sanktioner.
Start GDPR-oprydningen hvor det trænger mest
Følsomme data kan let ophobe sig i medarbejdernes mails. Med et GDPR Risiko-scan fra DataMapper får I en rapport, der viser potentielle GDPR-risici i virksomhedens Outlook-konti.
Hvad skal man sige, når man underretter myndighederne?
Når I underretter tilsynsmyndigheden om, at I har haft et brud på datasikkerheden, skal I angive:
- Hvem er blev berørt (kunder, medarbejdere mv.), og hvor mange personer er blevet berørt
- Hvilke typer personlige optegnelser er blevet hacket og hvor meget drejer det sig om
- Kontaktoplysninger til jeres dataansvarlige eller en anden kontaktperson
- En beskrivelse af de sandsynlige konsekvenser af bruddet
- Tiltag I har gjort for at afbøde de potentielle effekter af bruddet
Hvornår skal man underrette de berørte personer?
GDPR artikel 34 fastslår, at når et brud på persondatasikkerheden sandsynligvis vil betyde en høj risiko for personers rettigheder og friheder, skal man underrette de registrerede uden unødig forsinkelse.
Artiklen nævner nogle få undtagelser, hvor man muligvis ikke behøver at underrette enkeltpersoner om bruddet. For eksempel:
- Hvis de personer hvis oplysninger, der er blevt hacket, var beskyttet med kryptering eller andre foranstaltninger, der gør dem uforståelige for uvedkommende.
- Hvis I efter bruddet tog foranstaltninger for at sikre, at det ikke længere er sandsynligt, at det medfører en høj risiko for de registreredes rettigheder og friheder.
- Hvis det ville indebære en uforholdsmæssig stor indsats at underrette personer individuelt. I så fald kan man lave en offentlig kommunikation eller lave lignende foranstaltning for at informere de implicerede personer effektivt.
Hvis I mener, at en af disse undtagelser gælder for jer, kan I vente med at se, om Datatilsynet kræver, at I informerer folk om bruddet. På den anden side, hvis jeres egen risikovurdering viser, at databruddet sandsynligvis vil bringe folks personoplysninger i fare, er det bedst at give dem besked med det samme. Igen vil dette reducere jeres ansvar i det lange løb. Yderligere vil det hjælpe med at beskytte de personer, hvis data blev hacket.
Modtag vores nyhedsbrev!
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvordan skal man fortælle kunderne om et databrud?
Når I skal oplyse kunderne om brud på jeres datasikkerheden skal I give dem en klar og letforståelig beskrivelse af, hvad der er sket, og hvad I gør ved det. I bør også fortælle dem, hvad de kan gøre for at beskytte sig selv. Når I skriver til dem, skal I besvare følgende spørgsmål:
- Hvornår var bruddet, og hvad skete der præcist?
- Vil der sandsynligvis være konsekvenser eller skade for personen?
- Hvad har I allerede gjort og planlægger I at gøre for at beskytte dem?
- Hvad vil I gøre for at forhindre, at det sker igen?
- Er der ting, kunden kan gøre for at beskytte sig selv?
- Hvem skal de kontakte for at få flere oplysninger?
- Hvordan kan de indgive en klage?
Husk at være gennemsigtig, når I formulerer jer til kunden, og tag ansvar for hændelsen. Endelig skal I gøre det klart, at jeres virksomhed tager folks persondata alvorligt, og at I fortsat vil gøre alt, hvad I kan, for at beskytte det.
Skabelon til anmeldelse af databrud
Nedenstående er en skabelon til at anmelde et brud på datasikkerheden over for de berørte personer:
Emne: Data privacy breach incident
Hej [first name],
Vi skriver for at fortælle dig om et nyligt databrud, der påvirker dine personlige data. På/fra [dato], [angiv hændelsen, brug et klart, simpelt sprog til at beskrive præcis, hvad der skete, og hvorfor I betragter det som et brud persondata.]
Vores undersøgelse viser, at nogle oplysninger om dig var involveret, herunder:
[Angiv de berørte personlige oplysninger.]
[F.eks. personens navn, bopælsadresse, fødselsdato, telefonnummer, kreditkortnummer, pinkoder osv. Dette vil hjælpe personen med selv at vurdere, hvor skadelig overtrædelsen kan være og tage deres egne skridt for at beskytte sig selv.]
Denne hændelse påvirkede IKKE din:
[Hvis andre, mere fortrolige oplysninger blev beskyttet mod at blive involveret i bruddet, skal du angive disse kategorier her for at berolige personen. For eksempel faktureringsoplysninger, sundhedsjournaler osv.]
Vi tager hændelser som denne meget alvorligt, og vi har allerede [beskrevet de skridt, I har taget for at minimere skader forårsaget af bruddet]. Derudover vil vi være [liste yderligere trin, I har til hensigt at tage for at begrænse bruddet og beskytte personen]. Fremover vil vi bruge [beskriv nye politikker, software, tjenester eller andre foranstaltninger, I vil bruge for at reducere sandsynligheden for lignende problemer i fremtiden].
Overvej venligst, om et brud på privatlivets fred af de oplysninger, vi nævnte ovenfor, kan skade dig. Hvis ja, er her et par ting, du kan gøre for at beskytte dig selv.
[Inkluder nogle/alle af følgende sektioner, afhængigt af hvilke data der blev lækket.]
- Undgå marketingopkald og spam
- Registrer dit nummer/e-mail hos [lokalt bureau, forklar, hvordan de kan hjælpe].
- Kontakt din tjenesteudbyder og bed om at ændre dit nummer.
Undgå identitetstyveri
- Pas på e-mails og telefonopkald, der beder om dine personlige oplysninger.
- Skift adgangskoder til din konto.
- Kontakt [lokal organisation] for yderligere vejledning om de skridt, du kan tage for at beskytte dig selv mod identitetssvig.
Beskyt dine finansielle konti
- Alarm banker og kreditkort, så de kan overvåge og sikre dine konti.
- Overvåg nøje dine erklæringer for uautoriserede transaktioner
- Rapporter straks mistænkelige transaktioner til dit pengeinstitut.
- Skift dine netbanks adgangskoder, pinkoder osv.
- Aktiver multifaktorgodkendelse, hvor det er muligt.
- Kontakt [lokale kreditoplysningsbureauer] for at kontrollere, om nogen bruger din identitet til at opnå kredit eller for at anmode om et kreditforbud.
Hvis du har spørgsmål eller bekymringer, bedes du kontakte:
[Din DPO eller en anden kontaktperson i din virksomhed.]
Hvis du ikke er tilfreds med, hvordan vi har håndteret denne hændelse, eller du har oplevet nogen skade som følge af den, kan du indgive en klage om personoplysninger på [e-mail].
Forklar venligst, hvordan du er blevet berørt, og hvad vi kan gøre for at løse din klage. Hvis vi ikke kan løse problemet, kan du også indgive en klage til [den lokale datatilsynsmyndighed]:
[Kontaktperson til den lokale datatilsynsmyndighed]
Dine personoplysninger er vores prioritet, og vi vil fortsætte med at overvåge situationen og bruge enhver mulighed for at beskytte dine persondata. Tøv ikke med at kontakte os med eventuelle spørgsmål.
Med venlig hilsen
[Navn]
[Jobtitel]
[Firmanavn]
Anmeld et databrud på den smarte måde
Desværre er de fleste virksomheder ikke forberedt på at opdage og reagere på et databrud. Virksomheder håndtere flere dokumenter end nogensinde, hvilket gør det sværere at holde styr på og beskytte dem. Faktisk viste IBM’s årlige Cost of Data Breach Study, at den gennemsnitlige tid til at opdage et brud er steget med ni dage siden 2018.
Hvis ikke man har overblik over sine filer, vil man ikke være i stand til at opdage og reagere på et databrud i tide. Derfor bør man foretage regelmæssige data-opgørelser. Men det er en særdeles tidskrævende opgave at finkæmme éns filer manuelt. I stedet for kan man vælge at bruge et data discovery-værktøj til at udføre denne opgave hurtigt og med stor nøjagtighed. Vi har udviklet data discovery-værktøjet DataMapper, som kan hjælpe jer med at:
- Se, hvilke persondata I har, og hvor I opbevarer dem.
- Find ud af, hvilke medarbejdere der har adgang til de persondata, I gemmer.
- Find data, som I har gemt for længe.
- Vise kunder og datamyndigheder, at I gør jeres del for at forebygge, opdage og rapportere overtrædelser i tide.
Lær mere om DataMapper her.
Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR
Følg mig på LinkedIn for at få små tips til GDPR her →
