25
Okt
Sikkerhedsbrud kan også være andet end et hackerangreb

Af sekretariatschef, direktionssekretær Marianne Neumann

Det formål med Persondataforordningen, som har fået den største opmærksomhed i medierne, er, at vi skal mindske risikoen for hackerangreb.

Og det, kan vi jo alle sammen blive enige om, er en god idé. Heldigvis er risikoen, for at lige præcis din virksomhed bliver ramt af et hackerangreb, ikke så stor – men der findes faktisk også mange andre typer af brud på sikkerheden, som Persondataforordningen er sat i verden for at forebygge og bekæmpe.

Et sikkerhedsbrud kan ske for os alle. Læs med her og bliv klogere på, hvad et sikkerhedsbrud kan være, og hvordan du skal håndtere det, hvis uheldet er ude.

Hvad er et brud på sikkerheden?
Det ultimative brud på sikkerheden er et hackerangreb. Men et sikkerhedsbrud kan eksempelvis også være, hvis du kommer til at sende en mail med personoplysninger i til den forkerte mailadresse, hvis din medarbejder mister sin arbejdscomputer eller -telefon eller hvis der sker et indbrud i din virksomhed.

For at forebygge konsekvenserne af sikkerhedsbrud er det generelt en god idé at have koder på computere og telefoner, huske at låse skabe med personoplysninger i og låse døren til kontoret, når du forlader det.

Du skal have en beredskabsplan – det bør den indeholde
Det er et krav, at din virksomhed har en beredskabsplan, som følges i tilfælde af sikkerhedsbrud.

En beredskabsplan kan fx bestå af en række punkter, du skal forholde dig til ved sikkerhedsbruddet. Det er ikke sikkert, at alle punkter er relevante ved det enkelte sikkerhedsbrud – det afhænger af bruddets omfang. Et hackerangreb er naturligvis mere alvorligt end en mail, der er blevet sendt til den forkerte mailadresse.

Punkterne i din beredskabsplan bør være:

  • Dan et overblik over bruddet
  • Hvad er lækket?
  • Hvem er det gået ud over?
  • Hvordan er det sket?
  • Vurder, hvad konsekvensen af bruddet er
  • Anmeld bruddet – vurder i den enkelte situation, hvem bruddet skal anmeldes til
  • Til den/de personer, som bruddet evt. er gået ud over
  •  Hvad er omfanget af bruddet?
  • Hvilke data er blevet stjålet?
  • Hvilken konsekvens har det for personen?
  • Til Datatilsynet
  • Anvend anmeldelsesblanket via virk.dk
  • Anmeld bruddet inden for 72 timer
  • Til politiet
  • Til forsikringsselskabet
  • Juster relevante vejledninger, interne procedurer osv. og forebyg, at et tilsvarende brud sker igen
  • Aftal, hvem der gør hvad for at håndtere sikkerhedsbruddet

 

Det er vigtigt, at du husker at gemme noget dokumentation om sikkerhedsbruddet, og hvordan det er blevet håndteret. Hvis Datatilsynet kommer på besøg i din virksomhed, skal du nemlig kunne dokumentere, hvilke sikkerhedsbrud der har været, og at du har fulgt beredskabsplanen.

Hvornår skal et brud på sikkerheden anmeldes til Datatilsynet?
På Datatilsynets hjemmeside står der, at den dataansvarlige i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer skal foretage anmeldelse af bruddet til Datatilsynet via virk.dk, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

Det vil sige, at du ved et sikkerhedsbrud må vurdere, om det er sandsynligt, at bruddet har en konsekvens.

Har din medarbejder eksempelvis tabt en telefon, hvorpå han har adgang til sin arbejdsmail, der kan indeholde personoplysninger – men er telefonen sikret med en god kode – så er det ikke sikkert, at du behøver at anmelde det til Datatilsynet. Det må bero på en konkret vurdering i det enkelte tilfælde.

Har du brug for hjælp til at lave en beredskabsplan eller håndtere et sikkerhedsbrud? Så er du velkommen til at kontakte mig (Marianne Neumann).

Denne artikel er en del af en serie, hvor vi sætter fokus på Persondataordningen, og hvordan du kan gøre reglerne til en naturlig del af hverdagen i din virksomhed. Læs hele artikelserien HER.