DEL 2: Hvad skal du oplyse myndighederne om ved et datasikkerhedsbrud?

Notifikationspligten er beskrevet i detaljer i artikel 33 og 34 i databeskyttelsesforordningen og tager sit udgangspunkt i et persondatasikkerhedsbrud som har følgende ordlyd (Definition 12):

”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse

af eller adgang  til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”

Sker dette er det op til den enkelte organisation (den dataansvarlige og databeskyttelsesrådgiveren event i samarbejde med databehandleren) at vurdere om der i væsentligt omfang er sket et brud som kan medføre påvirkning af ”individets frihedsret”. Se evt. også følgende artikel.

 

Er dette tilfælde skal du gå ind på www.virk.dk og starte en anmeldelse. Husk at denne anmeldelse skal ske senest 72 timer fra det tidspunkt hvor organisationen er blevet bekendt med sikkerhedsbruddet. Hvis denne tidsfrist er overskredet skal anmeldelsen ledsages af en forklaring på overskridelsen. Læs mere om dette her.

 

For at kunne opfylde notifikationspligten og gøre dette rettidigt er det vigtigt at du har disse 3 ting på plads:

  • Et digitalt IT-Sikkerhedsprogram som gør det muligt at identificere en sikkerhedsbrist og finde årsagen til bristen. Her anbefaler vi Drawares Dansk IT-Sikkerhedsbarometer™ og specielt vores Sikkerhedsprofil.
    Læs mere om Sikkerhedsprofilen 
  • Hvis Datatilsynet finder organisationens behandlingssikkerhed utilstrækkelig skal du kunne dokumentere din behandlingssikkerhed ved at bruge bedste praksis kontroller og en plan baseret på risikovurdering (som har erstattet sikkerhedsbekendtgørelsen efter 25. maj 2018).
    Her anbefaler vi Draware Risikoprofil 

Følgende er et workflow med information om hvad du forventes at oplyse ved denne anmeldelse på virk.dk. Du må forvente at skulle bruge mindst 2 timer på at udfylde og  dokumentere denne anmeldelse. Der er 17 hovedpunkter som er markeret med fed tekst. Bemærk de røde punkter som falder ind under notifikationspligten i artikel 34.

  1. Du får automatisk angivet et referencenummer til din anmeldelse og huske at du allerede nu skal tænke på at udskrive en PDF kvittering når anmeldelsen er foretaget da dette er din eneste dokumentation for at du har foretaget en anmeldelse.
     
  2. Log ind med NEM-ID – typisk et ID tildelt til virksomheden
     
  3. Angiv navn og firmaoplysninger. Du skal endvidere svare på om dette er en ny anmeldelse eller en rettelse til en eksisterende anmeldelse.
     
  4. Hvis du indberetter på andre vegne skal du notere dette.
     
  5. Så skal hændelsestyden indberettes og her kan du vælge:
    1. Hændelse vedrørende den finansielle sektor
    2. Hændelse vedrørende persondata
    3. Hændelse vedrørende samfunds kritisk infrastruktur
    4. Frivillig indberetning af hændelse i øvrige sektorer til Center for Cyber Sikkerhed
    5. Større brud på it-sikkerheden i en offentlig institution
       
  6. Hvis du vælger b) som vist ovenfor kan du nu vælge
    1. Jeg ønsker at indberette til Datatilsynet
    2. Jeg ønsker at indberette til erhvervsstyrelsen da jeg er en teleudbyder, internetudbyder eller lignende (…)
       
  7. Beskriv hændelsen
     
  8. Hvor fandt hændelsen sted (adresse) (evt. ved ikke eller andet)
     
  9. Så skal karakteren af sikkerhedsbruddet beskrives som følger:
    1. Tyveri, kopiering eller bortkomst af medie
    2. Hacking
    3. Malware (fx virus, ransomware, spyware)
    4. Phishing
    5. DoS (eller DDoS ?)
    6. Eksponering af udvalgte oplysninger
    7. Utilsigtet videregivelse
    8. Utilsigtet adgang
    9. Ved ikke
    10. Andet (beskrivelse)
       
  10. Dernæst skal den involverede teknologi nævnes:
    1. Server (web, e-mail, netværk)
    2. Personlig computer (bærbar, stationær, tablet)
    3. Mobiltelefon
    4. Lagerenhed (USB, SD Kort, CD)
    5. Telenetværk
    6. Ved Ikke
       
  11. Skema til indberetning af sikkerhedshændelser:
    1. Kommunikation
      1. E-Mail
      2. SMS
      3. Internetbaseret (iMessage, Skype, Whatsapp, Signal)
      4. Sociale Medier
      5. Browser
      6. Ved Ikke
    2. Overførsel og lagring af data
      1. Cloud
      2. FTP
      3. Peer-2-peer
      4. Ved Ikke
      5. Andet (beskrivelse)
         
  12. Type af hændelse
    1. Er der sket en uberettiget offentliggørelse/videregivelse af personoplysninger? (ja/nej)
    2. Har der været uberettiget adgang til personoplysninger? (ja/nej)
    3. Er der sket ændring af personoplysninger? (ja/nej)
    4. Er der sket tilintetgørelse af personoplysninger? (ja/nej)
    5. Er der sket tab af personoplysninger?( ja/nej)
    6. Yderligere oplysninger (forklaring)
       
  13. Typer af personoplysninger der er berørt af hændelsen
    (Oplysninger markeret med rødt er særligt følsomme og kræver notifikationspligten i
    artikel 34 aktiveret.)
    1. Navn
    2. Fødselsdag
    3. Kontaktoplysninger
    4. Personnummer (CPR)
    5. Økonomiske forhold
    6. Lokationsdata
    7. Strafbare forhold
    8. Betalingsoplysninger (kreditkort m.v.)
    9. IP-Adresse
    10. Race
    11. Etnicitet
    12. Politisk tilhørsforhold
    13. Religiøs eller filosofisk overbevisning
    14. Fagforeningsmæssigt tilhørsforhold
    15. Seksuelle forhold eller orientering
    16. Helbredsoplysninger
    17. Genetiske data
    18. Biometriske data
    19. Endnu uvist
    20. Andet (specificer)
       
  14. Tidslinje (for hændelsen)
    1. Start
      1. Jeg kender de præcise tidspunkt for hændelsens start (specificer)
      2. Andet / ved ikke
    2. Afslutning
      1. Jeg kender de præcise tidspunkt for hændelsens afslutning (specificer)
      2. Andet / ved ikke
    3. Konstatering (hvor hændelsen er blevet ”Bekendt”)
      1. Jeg kender de præcise tidspunkt for hændelsens konstatering (specificer)
      2. Andet / ved ikke
    4. Hvordan blev hændelsen konstateret (Specificer)
    5. Varighed (Specificer)
    6. Er der blevet modtaget underretning om hændelsen fra en databehandler eller udbyder af digitale tjenester
      (Her refereres til hvem der har konstateret hændelsen – eksternt) (Ja/Nej/ved Ikke)
    7. Hvis tidsfristen på 72 timer er overskredet så angiv en begrundelse herfor (Specificer)
    8. Øvrige involverede
      1. Er der involveret databehandlere eller lign. (Ja/Nej/Ved Ikke)
      2. Er der udpeget en databeskyttelsesrådgiver (Ja/Nej/Ved Ikke)
         
  15. Skema til indberetning af hændelsen
    1. DPO Kontaktdetaljer (navn, e-mail, telefon, udenlandsktelefonnummer?)
    2. Omfang (hvilke personer er berørt af hændelsen) (ANGIV ANTAL BERØRTE)
      1. Medarbejdere
      2. Brugere
      3. Abonnenter
      4. Elever
      5. Kunder
      6. Patienter
      7. Mindreårige (under 18)
      8. Borgere
      9. Juridiske personer (virksomheder/organisationer)
      10. Andre (specificer)
      11. Endnu uvist
    3. Er antallet et skøn/overslag? (Ja/Nej)
    4. Øvrige oplysninger om antallet af berørte (Specificer)
    5. Grænseoverskridende hændelser
      1. Væsentlige konsekvenser for tjenester i andre EU/EØS lande? (Ja/Nej)
      2. Konsekvenser for personer i andre EU/EØS lande? (Ja/Nej)
    6. Konsekvenser
      1. Brud på fortrolighed (mindst et punkt skal vælges)
        1. Videregivelse af større mængder oplysninger end nødvendigt
        2. Videregivelse af oplysninger, som ikke er omfattet af den berørtes samtykke
        3. Utilsigtet videregivelse af oplysninger, der er linket til andre oplysninger om de berørte
        4. Oplysningerne kan blive misbrugt til andre eller ulovlige formål
        5. Andre konsekvenser som følge af brud på fortrolighed
        6. Ingen af ovenstående
      2. Brud på integritet (mindst et punkt skal vælges)
        1. Oplysningerne kan være blevet ændret og brugt, selvom oplysningerne ikke længere er valide
        2. Oplysningerne kan være blevet omdannet til andre valide data, og brugt til andre formål
        3. Andre konsekvenser som følge af brud på integritet
        4. Ingen af ovenstående
      3. Brud på tilgængeligheden (mindst et punkt skal vælges)
        1. Manglende evne til at yde afgørende hjælp til dem som er berørt af hændelsen
        2. Ændringer i muligheden for at yder afgørende hjælp til de berørte
        3. Manglende kontinuitet
        4. Andre konsekvenser som følge af et brud på tilgængeligheden
        5. Ingen af ovenstående
      4. Brud på autenticiteten (mindst et punkt skal vælges)
        1. Manglende evne til at sikre tilliden til, at en meddelelse stammer fra den afsender, den påstås at være fra
        2. Andre konsekvenser som følge af brud på autenticiteten
        3. Ingen af ovenstående
      5. Fysisk, materiel eller immateriel skade med betydning for den berørte (mindst et punkt skal vælges)
        1. Mistet kontrol over egne oplysninger
        2. Begrænset i sine rettigheder
        3. Udsat for diskrimination
        4. Udsat for identitetstyveri
        5. Udsat for bedrageri
        6. Lidt økonomisk tab
        7. Skade på omdømme
        8. Andre konsekvenser for de berørte
        9. Ingen af ovenstående
      6. Uddybende oplysninger (specificer)
         
  16. Håndtering
    1. Foranstaltninger der er truffet (for at håndtere hændelsen og begrænse de mulige skadevirkninger)
      (Specificer)
    2. Hvem har foretaget foranstaltningerne
      1. Indberetter
      2. Databehandler
      3. Andre
         
  17. Underretning
    1. Er de berørte personer blevet underrettet
      1. Ikke endnu, men underretningen vil ske
      2. Nej, underretning vil ikke ske
      3. Det er endnu ikke besluttet
      4. Ja, delvist
      5. Ja, alle er underrettet
    2. Hvornår blev underretningen givet (specificer)
    3. Hvordan blev underretningen foretaget
      1. E-mail
      2. Fysisk brev
      3. Telefon
      4. Hjemmeside/Web
      5. SMS
    4. Indhold af underretningen (Specificer). Vedhæft eventuelt underretningen.
    5. Er offentligheden blevet orienteret (Ja/Nej)

 

Se også: DEL 1: Databeskyttelsesforordningen og praksis for bødestørrelser

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE