Sikkerhedsbrud: Sådan underretter du berørte personer
Har din virksomhed eller organisation oplevet et brud på persondatasikkerheden? Sikkerhedsbrud kan medføre en høj risiko for de berørte personer, hvis uheldet er ude – er det tilfældet, har du pligt til at underrette alle berørte. På den måde får de mulighed for at tage deres forholdsregler og begrænse skadevirkningerne.
Hvornår skal berørte personer underrettes om sikkerhedsbruddet?
Når der sker et brud på persondatasikkerheden, er det din pligt at vurdere, om bruddet kan medføre høj risiko for de personer, der er berørt af bruddet – de registrerede.
Denne vurdering skal du skrive ned, så du kan dokumentere årsagen til, at du har vurderet, at der er høj risiko eller ikke.
Der kan f.eks. være høj risiko, hvis du ved en fejl får videregivet en beskyttet adresse til en uvedkommende eller referatet fra en MUS-samtale ved en fejl sendes til en uvedkommende. Om der er høj risiko, vil derfor altid bero på en konkret vurdering af sikkerhedsbruddet.
Tre gode råd til at vurdere om sikkerhedsbruddet er af høj risiko
- Tjek hvilke oplysninger, der er omfattet af bruddet
- Tjek hvilke kategorier af personer, der er omfattet af bruddet (børn, personer med brug for særlig beskyttelse f.eks. pga. sygdom eller alderdom, medarbejdere, kunder mv.)
- Undersøg hvilke mulige konsekvenser, der kan være for de berørte (risikerer de f.eks. at miste rettigheder, modtage uønskede henvendelser, skade på deres omdømme eller kan de udsættes for identitetstyveri?)
Hvorfor skal du underrette om sikkerhedsbrud?
Først og fremmest skal du kunne dokumentere, at du har underrettet de berørte personer, og derfor er det altid en god idé at underrette skriftligt.
Det er dog ikke et krav, og du må gerne underrette mundtligt, f.eks. ved at ringe til den registrerede. For at kunne dokumentere dette bør du i stedet lave et notat om telefonopkaldet.
Vores anbefalinger til underretningsprocessen
Hos HjulmandKaptain anbefaler vi, at det overvejes – afhængig af hvem den/de registrerede er, og hvor mange der er omfattede af bruddet – at ringe til de registrerede først og efterfølgende sende et underretningsbrev. Det skyldes, at de registrerede kan blive overraskede over en skriftlig underretning, hvilket kan give anledning til en del spørgsmål.
Du tager derfor et hensyn til både den registrerede og din organisation ved at ringe først. Her kan den registrerede få svar på spørgsmål og ikke mindst blive sikker på, at din organisation tager sagen alvorligt.
Du kan også med fordel oplyse i telefonsamtalen, at du sender et brev til vedkommende, hvor de samme oplysninger, du har givet mundtligt, vil fremgå. Så er den registrerede forberedt på, at der kommer et brev samtidig med, at vedkommende har allerede fået forklaret, hvad det går ud på. Telefonopkald kan tage meget tid, men den tid er altså godt givet ud.
Herunder kan du læse, hvad en underretning skal indeholde.
Hvad skal en underretning indeholde?
Et underretningsbrev skal indeholde en række bestemte oplysninger:
- En beskrivelse af hvad der er sket og karakteren af bruddet
- Navn og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor der kan hentes yderligere oplysninger
- En beskrivelse af hvilke konsekvenser bruddet kan have for den registrerede
- Anbefalinger til den registrerede om hvad vedkommende kan gøre for at begrænse skadevirkningerne
- En beskrivelse af hvad du har gjort eller vil gøre for at håndtere bruddet og begrænse de mulige skadevirkninger
Du skal give disse oplysninger i et sprog, som din modtager kan forstå. Pas derfor på med at være for indforstået, for teknisk eller for juridisk.
Datatilsynet anbefaler desuden, at du laver en opfølgende underretning, hvis der kommer nye oplysninger i sagen, der er relevante for de berørte registrerede.
Hvornår skal du foretage underretningen?
Når du bliver bekendt med et sikkerhedsbrud, hvor der er høj risiko for de registrerede, så skal du underrette uden unødig forsinkelse. Den registrerede skal nemlig have mulighed for at handle tids nok til at eventuelle skadevirkninger ikke indtræder.
Hvis der f.eks. er sket læk af adgangskoder til en digital tjeneste, kan en underretning uden unødig forsinkelse betyde, at den registrerede kan nå at ændre adgangskode, inden uvedkommende får adgang.
Hvis din organisation arbejder med særligt beskyttelsesværdige personoplysninger, f.eks. beskyttede navne- og adresse eller andre personoplysninger, der kan medføre fare for liv og helbred ved sikkerhedsbrud, anbefaler HjulmandKaptain, at I har en procedure for, hvordan underretning kan ske straks.
Du kan læse mere om vores anbefalinger til at håndtere sikkerhedsbrud her.
Få hjælp til dit arbejde med GDPR
Har du og din organisation brug for hjælp til håndtering af sikkerhedsbrud, og hvordan du underretter berørte personer, så er du velkommen til at kontakte HjulmandKaptains specialister i databeskyttelse.
Vores solide erfaring på området giver dig en pålidelig vej til at reducere risikoen for sikkerhedsbrud og styrke databeskyttelsen.
Søger du sparring og juridisk rådgivning?
Hos HjulmandKaptain er vores advokater specialister i GDPR. Kontakt os for at høre nærmere eller læs mere om, hvordan vi kan hjælpe dig.
Vores viden er din styrke
Tilmeld dig
HjulmandKaptains
nyhedsbrev
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.