Anmeldelse af et persondata sikkerhedsbrud - hvad skal du gøre i praksis?

Anmeldelse af et persondata sikkerhedsbrud - hvad skal du gøre i praksis?

Den 28. februar har Justitsministeriet frigivet en 37 siders særvejledning om ”Håndtering af brud på persondatasikkerheden” på https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/ og særvejledningen kan hentes på følgende link: https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledninger/Vejledning_sikkerhedsbrud.pdf

Denne vejledning er obligatorisk læsning for alle organisationer, som behandler persondata, og vejledningen peger på ANSVARLIGHED, forberedelse og god praksis som hjørnesten i arbejdet med brud på persondatasikkerheden. I vejledningens afsnit 7-10 gennemgås i praksis hvordan organisationen skal håndtere et brud på persondatasikkerheden og informationerne herunder her taget derfra:

Et brud på persondatasikkerheden er som udgangspunkt at finde i GDPR definition 12 som siger: “ Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret og opbevaret eller på anden måde behandlet.”

Vejledningen omhandler kun informationssikkerhedshændelser (Se ISO27001), som har relevans for persondatasikkerheden.

Alle brud på persondatasikkerheden i organisationen SKAL dokumenteres (se procesbeskrivelse på side 30) og dokumentationen skal som minimum indeholde:

  • Dato og tidspunkt for bruddet
  • Hvad skete der i forbindelse med bruddet?
  • Hvad er årsagen til bruddet?
  • Hvilke (typer) personoplysninger er omfattet af bruddet?
  • Hvilke konsekvenser har bruddet for de berørte personer?
  • Hvilke afhjælpende foranstaltninger er truffet?
  • Er der sket anmeldelse til Datatilsynet?

Et brud på persondatasikkerheden skal ikke anmeldes til Datatilsynet, hvis det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Det er op til organisationen at foretage en risikovurdering forud for en evt. anmeldelse til myndighederne og resultatet af denne vurdering lægges til grund for anmeldelsen.

En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, økonomisk tab,skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede. Overvejelser der bør indgå i risikovurderingen er (se mere på side 7):

  • Typen af sikkerhedsbrud, herunder om der er sket tab af oplysninger, brud på fortroligheden eller en integritetskrænkelse
  • Oplysningernes art og omfang
  • Risikoen for at registrerede kan identificeres
  • Konsekvenser bruddet kan have for de registrerede
  • Hvorvidt bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn eller særligt udsatte)
  • Antallet af berørte fysiske personer

Sanktioner for manglende efterlevelse kan f.eks. bestå i, at Datatilsynet udtaler kritik eller udsteder et påbud til den dataansvarlige. Afhængigt af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere den manglende efterlevelse af reglerne med bøde-enten i kombination med eller i stedet for en af Datatilsynets korrigerende beføjelser. Ved kritiske eksempler på manglende efterlevelse vilder blive tale om en retssag, hvor domstolene afgør bødens størrelse, som kan være på maksimalt 150 millioner kroner eller 4% af organisationens årsomsætning afhængigt af, hvad der er størst.

Selve anmeldelsen forventes at skulle foretages via en elektronisk blanket, som kan nås via et link på www.virk.dk. Det er den dataansvarlige,som skal foretage denne indberetning, men den dataansvarlige kan uddelegere denne opgave. Indberetningen skal ske efter persondata-sikkerhedsbruddet er blevet den dataansvarlige ”bekendt”, hvilket vil sige at bruddet efter en intern vurdering er en realitet.

Fra det øjeblik hvor bruddet er blevet bekendt har organisationen (den dataansvarlige eller dennes stedfortræder) MAKSIMALT 72 timer (3 døgn) til at melde bruddet til myndighederne, hvis det er muligt. Hvis det ikke er muligt, skal organisationens anmeldelse ledsages af en begrundelse for forsinkelsen.

Anmeldelsen til myndighederne kan ske trinvist og forventes som minimum at:

  • beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
  • angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

     

Bemærk at de 72 timer er en absolut MAKSIMUM frist for anmeldelse og der tages IKKE højde for ferie, weekend og helligdage. Det betyder at hvis sikkerhedsbruddet er blevet bekendt fredag morgen klokken 10 er anmeldelsesfristen mandag morgen klokken 10.

Hvis der er tale som følsomme persondata (som fx data om børn eller data der kan påvirke ”individets frihedsret”), skal der uden unødig forsinkelse ske en DIREKTE underretning af den registrerede. Denne underretning skal være i et klart forståeligt sprog,  må ikke koste noget og må ikke være en del af anden kommunikation (fx et nyhedsbrev). Underretningen til den registrerede skal:

  • beskrive karakteren af bruddet på persondatasikkerheden og som minimum:
  • angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

 

Draware’s kommentarer til praktisk udmøntelse: 

1.) For at ovenstående er muligt at gennemføre i praksis, skal organisationen afsætte tid, budget og arbejdskraft til en metodisk tilgang til behandlingssikkerhed (artikel 32) og notifikationspligt (artikel 33-34). Resultatet af denne indsats skal gerne være på skinner inden 25. maj i år.
Er resultatet ikke klart inden 25. maj, skal der i det mindste være en detaljeret plan for hvordan og hvornår den bliver klar.

2.) For at punkt 1 er muligt, skal IT-Sikkerhedsinitiativet være forankret hos organisationens ledelse. Det er så ubetinget den største hæmsko for efterlevelse i mange organisationer. Her kan Draware’s ”Ledelsesprofil” hjælpe (se punkt 8).

3.) Ovenstående kræver at organisationen adopterer en sikkerhedsstandard og her peger vi på ISO27002 og Center for Internet Security 20 Critical Security Controls 
Download pdf om "Cyberforsvar der virker" fra Digitaliseringsstyrrelsen 

4.) For at udmønte punkt 3 i praksis, skal der gennemføres en GAP analyse, som klarlægger organisationens nuværende IT-Sikkerhedsprofil (A) og organisationens målsatte IT-Sikkerhedsprofil (B) og en plan for at komme fra A til B. Du kan bruge Draware’s ”Dansk IT-Sikkerhedsbarometer™” til at komme igennem denne proces. (www.draware.dk/gap).

5.) Alle IT-Sikkerhedsmæssige tiltag skal dokumenteres og kontrolleres efter retningslinjerne:

  • Du skal sige hvad du gør og forklare hvorfor du har valgt at gøre netop dette
  • Du skal gøre hvad du siger og kunne dokumentere dette

Her kan Draware’s ”Kontrolprofil” hjælpe dig.

6.) Som en del af de praktiske tiltag i forbindelse med punkt 4 skal organisationen have et ”Incident Response Team” (CSIRT) og en ”Incident Response Plan” (CSIRP) efter retningslinjerne i NIST 800-61R2. Ellers bliver det helt usandsynligt (umuligt) at opfylde notifikationspligten på de 72 timer. 

CSIRT og CSIRP skal være dokumenteret, indøvet og revurderet for at virke. Dette er et krav. Læs mere her 

7.) For at kunne opfylde myndighedernes krav til dokumentation af et sikkerhedsbrud skal du have den nødvendige sporbarhed på persondata. Det
er ikke en triviel ”next next next” opgave men kræver en omhyggelig indsats, der kan være langvarig og ressourcetung.
Her kan Draware’s ”Sikkerhedsprofil” bruges.

8.) Draware’s GAP Analyse koncept ”Dansk IT-Sikkerhedsbarometer™” med følgende profiler er forklaret i detaljer på www.draware.dk/gap samt i følgende dokumentation: Draware Dansk IT-Sikkerhedsbarometer™

  • Sikkerhedsprofil: Detaljeret klarlægning af nuværende (A) og målsat (B) sikkerhedsprofil samt hvordan organisationen kommer fra A til B
  • Organisationsprofil: Måler IT-Sikkerheden pr. afdeling i organisationen og sammenligner resultatet, så ”best practice” kan fremmes via awareness træning
  • Ledelsesprofil: Hjælper med at forankre IT-Sikkerhedsinitiativet hos ledelsen ved at gøre det målbart
  • Risikoprofil: Omsætter den tekniske IT-Sikkerhedsprofil til RISIKOPROFIL så organisationen (og ledelsen) kan gennemføre en prioriteret IT-Sikkerhedsindsats
  • Kontrolprofil: Dokumenterer IT-Sikkerhedsinitiativet, så kravene til behandlingssikkerheden kan opfyldes

9.) Husk at behandlingssikkerhed ikke drejer sig om, hvor sikker organisationen er, men om hvilket niveau af risiko organisationen vil acceptere. Netop derfor er det afgørende, at initiativet er forankret hos organisationens ledelse. Her kan Draware’s ”Risikoprofil” hjælpe. Bemærk også at IT-Sikkerhed er en væsentlig del af informationssikkerhed – fx udgør IT-Sikkerhed 66 ud af de 114 kontroller i ISO27001/2 anneks A.  

Vi hører tit at IT-Sikkerhed ikke er prioriteret til fordel for et fokus på informationssikkerhed som ofte har en HR/juridisk forankring. Det er en farlig prioritering fordi den tekniske digitale IT-Sikkerhed er den væsentligste hjørnesten i behandlingssikkerheden og notifikationspligten.

Kontakt Christian Schmidt for at høre nærmere om, hvordan vi kan hjælpe dig med at udmønte behandlingssikkerheden og notifikationspligten i praksis.

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Saturday, 30 May 2020