Direkte underretning af datasubjekter ved sikkerhedsbrister, som omfatter særligt følsomme persondata

I forbindelse med at den nye persondataforordning (databeskyttelsesforordningen) træder i kraft den 25. maj 2018, bliver det et lovkrav at underrette myndigheder og evt. datasubjekter når organisationen er blevet bekendt med en sikkerhedsbrist, som kan have indflydelses på individets frihedsret.

Se denne blog for en yderligere beskrivelse af notifikationspligt.

Herunder finder du hjælp til indholdet af en tekst til direkte underretning af datasubjektet. Her er tale om en tekst, som du skal tilpasse hvad angår alle felter markeret med orange tekst i []. Vær også opmærksom på om denne tekst skal oversættes til andre sprog for datasubjekter, som ikke nødvendigvis forstår dansk på tilstrækkeligt niveau til at kunne udføre hvad der står i teksten.

Udensendelsen af denne tekst skal ske når GDPR artikel 34 skal tages i brug. Det gælder således kun når databristen involverer særligt følsomme personoplysninger. Flere detaljer kan findes i særvejledningerne på datatilsynets hjemmeside 

 

Eksempel på tekst til den direkte notifikationspligt under GDPR Artikel 34:

 

 

Til [alle borgere, en bestemt gruppe, specifikke personer]

Vi skriver til dig med en advarsel angående dine personlige oplysninger hos [kommune, organisation, virksomhed]. Vi har stor respekt for dine personlige data og vi tager beskyttelsen af disse oplysninger meget alvorligt.

Den [dato] er vi blevet bekendt med at dine persondata som omfatter [datatyper] er blevet [stjålet/frigivet til/videregivet til] til en uautoriseret 3rdie part formegentlig i løbet af [måned & år / formodet tidsangivelse]. Da denne sikkerhedsbrist omfatter datatyper som kan påvirke dit privatliv, er det meget vigtigt at du læser nedenstående grundigt.

 

Hvad har [kommune, organisation, virksomhed] gjort i anledning af denne sikkerhedsbrist?

Umiddelbart efter at sikkerhedsbristen blev opdaget og bekræftet, har vi taget skridt til at afgøre hvad der er sket, hvordan det er sket og hvad omfanget af sikkerhedsbristen. Vi arbejder med [myndighederne, politiet, jurister og ledende sikkerhedseksperter] som alle hjælper med at opklare sikkerhedsbristen så hurtigt som muligt. Vi har også informeret datatilsynet [og andre myndigheder] i henhold til gændende lovgivning.

 

Hvad har vi gjort for at bekrænse skadevirkningerne af denne sikkerhedsbrist?

- Vi har underettet dig og andre berørte personer om hvordan de bedst kan beskytte deres persondata.

- Vi har sikret os at alle brugere som er berørt såvel internt som eksternt skal skifte deres kodeord ved næste logon.

- Vi fortsætter med en intens overvågning af mistænkelig aktivitet relateret til dette sikkerhedsbrud.

- Vi fortsætter samarbejdet med myndigeder og sikkerhedsspecialister.

- Vi arbejder med at iværksætte en række initiativer som skal sikre at vi i fremtiden bliver bedre rustet til at opdage og forhindre lignende  sikkerhedsbrister.

 

Hvad beder vi dig om at gøre for aktivt og straks at beskytte dine persondata?

- Ændre dit kodeord for alle andre konti hvor du har brugt samme eller et lignende kodeord.

- Vær særligt opmærksom over for mistænkelig aktivitet relateret til din(e) konti.

- Vær særligt på vagt over for mistænkelig kontakt – fx via telefon, sms eller e-mail – hvor nogen vil bede dig om at indtaste eller på anden måde videregive dine persondata eller kodeord.

- Vær særligt opmærksom på links i e-mails som kan lede dig hen på farlige hjemmesider.

 

Hvor finder du yderligere information?

Du er meget velkommen til at kontakte [kommune, organisation, virksomhed] hvis du har yderligere spørgsmål til hvad vi gør eller hvilke forholdsregler du selv bør træffe. Du kan se mere på dette [link] eller evt. træffe os på [kontaktdetaljer].

 

Med venlig hilsen

[kommune, organisation, virksomhed]

[Ansvarlig leder, DPO, CISO]