RETNINGSLINJER / BRUD PÅ PERSONDATASIKKERHEDEN
1. INDLEDNING
1.1 Disse retningslinjer fastsætter de interne procedurer for håndtering af brud på personda-tasikkerheden (”Sikkerhedsbrud”).
1.2 Vurdering af et Sikkerhedsbrud, herunder evt. underretning af Datatilsynet samt den/de berørte registrerede, skal ske overensstemmelse med disse retningslinjer.
2.0 HVORNÅR ER DER TALE OM SIKKERHEDSBRUD?
2.1 Der er tale om et Sikkerhedsbrud, hvis et brud på sikkerheden fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
2.2 Følgende eksempler kan udgøre Sikkerhedsbrud:
• Andre end autoriserede personer hos Fiberpartner eller en databehandler får adgang til personoplysninger
• Sikkerhedsbrud på en server eller manglende kryptering af en bærbar computer, hvorved uvedkommende har fået adgang til personoplysninger
• Fiberpartners medarbejdere ubevidst eller bevidst videregiver personoplysninger til uvedkommende, fx ved fremsendelse af en e-mail til den forkerte modtager
• Personoplysninger er utilgængelige, fx på grund af en mistet krypteringsnøgle, strømsvigt eller denial of service-attack, og det indebærer en risiko for registreredes rettigheder eller frihedsrettigheder
• Fiberpartners medarbejdere ændrer eller sletter personoplysninger ved et uheld
3.0 BEREDSSKABSTEAM
3.1 Det er besluttet, at Lars Ovesen er overordnet ansvarlig for at håndtere et Sikkerhedsbrud, herunder evt. underret
ning af Datatilsynet og den/de berørte registrerede. Lars Ovesen kan udpege en eller få medarbejdere, der kan bistå med håndtering af Sikkerhedsbruddet.
3.2 Hvis en medarbejder bliver opmærksom på et Sikkerhedsbrud, eller hvis Fiberpartner på anden måde bliver opmærksom på et potentielt Sikkerhedsbrud, skal Lars Ovesen orienteres straks. Dette er også tilfældet, hvis der er begrundet formodning for, at et Sikkerhedsbrud er umiddelbart forestående.
3.3 Underretning af Lars Ovesen skal ledsages af et telefonopkald eller en anmodning om at modtage bekræftelse på, at Lars Ovesen har set underretningen.
3.4 De skridt, der skal foretages forbindelse med et muligt Sikkerhedsbrud, er beskrevet disse retningslinjer. Det er Lars Ovesen, der har det overordnede ansvar for, at de nødvendige personoplysninger indhentes, og at vurderinger foretages i den forbindelse.
4.0 ANMELDELSE AF DATATILSYNET
OG/ELLER UNDRETNING AF DEN/DE BERØRTE REGISTREREDE
4.1 Udgangspunktet er, at et Sikkerhedsbrud skal anmeldes til Datatilsynet, medmindre det er usandsynligt, at Sikkerhedsbruddet indebærer en risiko for de registreredes rettigheder eller frihedsrettigheder (jf. afsnit 5).
4.2 Hvis det er sandsynligt, at Sikkerhedsbruddet vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder, skal Fiberpartner også underrette den/ de berørte registrerede om Sikkerhedsbruddet (jf. afsnit 6).
4.3 Input til vurderingen af Sikkerhedsbruddets risici kan findes afsnit 7.
4.4 Fiiberpartner forpligtelser i relation til Sikkerhedsbrud indtræder, når Fiberpartner er blevet bekendt med, at der er sket et Sikkerhedsbrud. Det kan fx være på baggrund af:
RETNINGSLINJER / BRUD PÅ PERSONDATASIKKERHEDEN
• Henvendelse om, at en person ved en fejl har modtaget personoplysninger om en anden person
• At en it-leverandør (fx en databehandler) opdager en mulig indtrængen, og en undersøgelse bekræfter dette
• At en hacker anmoder om løsesum for at frigive personoplysninger fra et it-system
• At en medarbejder oplyser, at han/hun har mistet en ukrypteret USB-nøgle med personoplysninger
4.5 En mistanke om et Sikkerhedsbrud eller en udokumenteret hændelse medfører normalt ikke anmeldelsespligt. En sådan mistanke kan dog føre til, at Fiberpartner skal overveje, om de tekniske og organisatoriske sikkerhedsforanstaltninger er tilstrækkelige.
5.0 NÆRMERE OM ANMELDELSE TIL DATATILSYNET
5.1 Fiberpartner skal anmelde et Sikkerhedsbrud uden unødig forsinkelse, og hvor det er muligt, inden 72 timer fra Fiberpartner er blevet bekendt med Sikkerhedsbruddet. Der anmeldes via https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed. Der logges på med Fiberpartners erhvervs-NemID.
5.2Overskrides fristen på 72 timer, skal anmeldelsen ledsages af en begrundelse for forsinkelsen.
5.3 Hvis Fiberpartner ikke har fuldt overblik til at foretage en fuldstændig anmeldelse inden for 72 timer, er det muligt at anmelde trinvist til Datatilsynet.
5.4 Der kan også være behov for at opdatere en indleveret anmeldelse efterfølgende, hvis nærmere undersøgelser fx viser, at der alligevel ikke har været et Sikkerhedsbrud, eller at Sikkerhedsbruddet ikke har medført risiko for registreredes rettigheder eller frihedsret-tigheder – eller hvis Sikkerhedsbruddet viser sig at have haft større konsekvenser end først antaget.
5.5 Hvad skal anmeldelsen indeholde?
5.5.1 Anmeldelsen skal så vidt muligt beskrive karakteren af Sikkerhedsbruddet forhold til:
• Kategorierne af og det omtrentlige antal berørte registrerede personer og
• Kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
5.5.2 Anmeldelsen skal beskrive de sandsynlige konsekvenser af Sikkerhedsbruddet1
5.5.3 Anmeldelsen skal beskrive de foranstaltninger, som Fiberpartner har truffet eller foreslår truffet for at håndtere Sikkerhedsbruddet, herunder begrænsning af mulige skade-virkninger. Dette inkluderer også foranstaltninger, som databehandlere har truffet eller som Fiberpartner agter at træffe over for databehandlere.
5.5.4 Andre relevante oplysninger kan fx være identiteten på en databehandler, hvis bruddet er sket hos databehandleren.
5.5.5 De ovenfor anførte oplysninger skal bidrage til, at Datatilsynet får mulighed for at følge og vurdere, om Fiberpartners håndtering af Sikkerhedsbruddet sker på en tilstrækkelig måde.
5.6 Hvornår behøver der ikke ske anmeldelse til Datatilsynet?
5.6.1 Fiberpartner kan efter en nærmere vurdering af Sikkerhedsbruddet helt undlade at foretage anmeldelse, hvis det er usandsynligt, at Sikkerhedsbruddet indebærer risiko for den/de berørte registreredes rettigheder eller frihedsrettigheder.
Note: Vær opmærksom på, at der skal gives tilstrækkelige oplysninger, men at der samtidig alene skal oplyses om dokumenterede forhold, som specifikt er relaterede til sikkerhedsbruddet. Der skal ikke oplyses om formodninger.
RETNINGSLINJER
/ BRUD PÅ PERSONDATASIKKERHEDEN
5.6.2 Der kan fx være tale om, at uvedkommende har haft adgang til personoplysninger, som er lagret i krypteret form. Hvis det kan lægges til grund, at der er tale om en stærk kryptering, som ikke kan brydes eller omgås inden for en tilstrækkelig lang årrække, kan det ud fra en konkret vurdering være usandsynligt, at der er risiko for den/de berørte registreredes ret-tigheder eller frihedsrettigheder.
foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
6.3 Fiberpartner skal kunne påvise over for Datatilsynet, at Fiberpartner opfylder en eller flere af de ovenstående betingelser.
6.4 I det omfang at der er krav om underretning, skal Lars Ovesen underrette den/de berørte registrerede uden unødigt ophold.
6. NÆRMERE OM UNDERRETNING AF DEN/DE BERØRTE REGISTREREDE
6.1 Fiberpartner skal underrette de registrerede, der berøres af Sikkerhedsbruddet, fx medarbejdere, kunder, leverandører og forretningspartnere, i det omfang det er sandsynligt, at Sikkerhedsbruddet vil udgøre en høj risiko for den/de berørte registreredes ret-tigheder og frihedsrettigheder. Der henvises til afsnit 7 nedenfor for nærmere oplysninger om de forhold, der skal tages højde for ved en sådan risikovurdering.
6.2 Fiberpartner er imidlertid undtaget fra at skulle underrette de registrerede, hvis:
• Fiberpartner har gennemført passende tekniske og organisatoriske foranstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er blevet berørt af Sikkerhedsbruddet, navnlig foranstaltninger, der gør personoplysninger uforståelige for enhver, der ikke har autoriseret adgang hertil, som fx kryptering.
• Fiberpartner har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel.
• Det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der stedet foretages en offentlig meddelelse eller tilsvarende
6.5 Underretning efter afsnit 6.4 skal som minimum:
• Beskrive Sikkerhedsbruddets karakter i et klart og forståeligt sprog
• Meddele navn på og kontaktoplysninger for en kontaktperson, hvor yderligere oplysninger kan indhentes
• Beskrive de sandsynlige konsekvenser af Sikkerhedsbruddet
• Beskrive de foranstaltninger, der er truffet, eller som Fiberpartner har foreslået truffet, med henblik på at håndtere Sikkerhedsbruddet, herunder, hvis det er muligt, foranstaltninger for at begrænse mulige skadevirkninger, som fx nulstilling af kodeord i de tilfælde hvor de registreredes brugeroplysninger er blevet kompromitteret
6.6 I tilfælde, hvor Fiberpartner vurderer, at den/de berørte registrerede skal underrettes om Sikkerhedsbruddet, skal der også ske anmeldelse til Datatilsynet.
7. VURDERING AF RISIKO
7.1 Når Fiberpartner vurdere risikoen for de registrerede som følge af et Sikkerhedsbrud, skal der tages højde for specifikke omstændigheder, herunder bruddets alvor og potentielle betydning
RETNINGSLINJER / BRUD PÅ PERSONDATASIKKERHEDEN
En sådan vurdering skal tage følgende omstændigheder i betragtning:
Sikkerhedsbrudets art Sikkerhedsbruddets art vil kunne påvirke det risikoniveau, som de registrerede udsættes for. Fx vil en krænkelse af retten til fortrolighed, hvor helbredsoplysninger er blevet videregivet til uautoriserede parter, have andre konsekvenser for en registreret end Sikkerhedsbrud, hvor den registreredes helbredsoplysninger er tabt og ikke længere er tilgængelige.
Typen, følsomheden og mængden af personoplysninger
Jo mere følsomme personoplysningerne om de berørte registrerede personer er, desto højere risiko vil et Sikkerhedsbrud udgøre for de pågældende.
Identifikation af de registrerede
Det er vigtigt at overveje, hvor let det vil være for en part, der har adgang til kompromitterede personoplysninger, at identificere specifikke registrerede personer eller at sammenstille personoplysninger med andre oplysninger for at kunne identificere registrerede personer.
Konsekvensernes alvorsgrad for de registrerede
I det omfang de af Sikkerhedsbruddet berørte personoplysninger er følsomme personoplysninger, kan en potentiel skadevirkning mod de registrerede være særlig alvorlig, navnlig hvis Sikkerhedsbruddet medfører identitetstyveri, svig, fysisk skade, psykologisk forstyrrelse, tort eller skade af omdømme.
Særlige forhold ved de registrerede Hvis Sikkerhedsbruddet vedrører personoplysninger om børn eller andre særligt udsatte, vil disse være udsat for en større risiko for skadevirkninger. Der kan være andre faktorer
vedrørende de registrerede, som har indflydelse på påvirkningsniveauet, som Sikkerhedsbruddet har på de registrerede.
Antallet af berørte registrerede
Jo større antal af berørte registrerede personer, desto større konsekvens kan et Sikkerhedsbrud have. Et Sikkerhedsbrud kan dog få alvorlige konsekvenser for selv én registreret person, afhængig af karakteren og indholdet af de personoplysninger, der er blevet kompromitteret.
8. HVAD GÆLDER FOR DATABEHANDLERE?
8.1 Hvis en af Fiberpartner databehandlere bliver opmærksom på, at der er sket et Sikkerhedsbrud, skal den pågældende databehandler underrette Fiberpartner uden unødig forsinkelse.
8.2 Databehandleren kan ikke undlade at underrette Fiberpartner om Sikkerhedsbruddet med henvisning til, at databehandleren selv har vurderet, at det er usandsynligt, at bruddet indebærer en risiko for den/de berørte registreredes rettigheder eller frihedsret-tigheder.
9.
DOKUMENTATION AF SIKKERHEDSBRUD
9.1 Uanset om Sikkerhedsbruddet er underlagt anmeldelseskrav, skal Lars Ovesen altid dokumentere Sikkerhedsbruddet, herunder de forhold, der vedrører Sikkerhedsbruddet og dens følger og de trufne afværgeforanstaltninger.
9.2 Dokumentationskravet opfyldes ved at føre en intern liste over Sikkerhedsbrud, der doku-menterer følgende omstændigheder:
• Dato og tidspunkt for Sikkerhedsbruddet
• Hvor og hvordan opstod Sikkerhedsbruddet?
• Hvem konstaterede Sikkerhedsbruddet?
• Hvilke (typer) personoplysninger og kategorier af registrerede er omfattet af Sikkerhedsbruddet?
RETNINGSLINJER / BRUD PÅ PERSONDATASIKKERHEDEN
• Hvilke konsekvenser har Sikkerhedsbruddet for den/de berørte registrerede?
• Hvilke afhjælpende foranstaltninger er truffet?
• Skal der ske anmeldelse til Datatilsynet?
10. OPFØLGNING
10.1 Lars Ovesen tilser, at de forhold, der førte til Sikkerhedsbruddet, er blevet afhjulpet, og at driften er normaliseret. I samarbejde med fx leverandøren/ databehandleren skal det sikres størst muligt omfang, at lignende fejl ikke forekommer fremover.