De fleste håber, at hændelsesloggen aldrig bliver relevant. For den handler om noget, de færreste har lyst til at tale om. Fejl, sikkerhedsbrud og forkert håndtering af persondata.
Men vi ved også at alle laver fejl og netop derfor er hændelsesloggen vigtig.
Hvis Datatilsynet banker på og beder om dokumentation for, hvordan I håndterer brud på persondatasikkerheden, er det ikke nok at sige, at I aldrig laver fejl. For det sker i alle virksomheder og det ved Datatilsynet godt.
Velkommen til tredje del af DataLøns GDPR-serie om de 3 lovpligtige dokumenter. Vi har tidligere gennemgået privatlivspolitikken og fortegnelsen. Nu stiller vi skarpt på hændelsesloggen – dokumentet, der beviser, at I er rustet til at håndtere det uventede.
Hvad er en hændelseslog og hvorfor er den vigtig?
I modsætning til de 2 første GDPR-dokumenter, som du kan udarbejde på forhånd, er hændelsesloggen et levende dokument. Den skal opdateres hver gang, der sker et brud på persondatasikkerheden.
Og ja, brud sker. Hos alle.
Derfor vil Datatilsynet som regel altid bede om at se jeres hændelseslog, hvis de kommer forbi. For de ved, at ingen slipper helt uden om fejl.
En tom log vækker derfor mistanke. Det kan give indtryk af, at I enten ikke har styr på jeres procedurer eller endnu værre: at dine medarbejdere ikke ved, hvordan de skal handle, når et brud opstår.
Hvad tæller som et brud?
Lad os starte med den gode nyhed. De fleste brud på persondatasikkerheden er små og som regel helt uden alvorlige konsekvenser.
Eksempler kan være:
- En ansættelseskontrakt glemt i printeren
- En personalesag, der ligger åbent på skrivebordet under frokostpausen
- En mail med personoplysninger sendt til den forkerte modtager
Det er sjældent noget, der skaber reel skade – men det er stadig brud, og de skal logges. For loggen handler ikke kun om alvor. Den viser også, at I tager GDPR alvorligt i hverdagen, og at dine medarbejdere kender proceduren, når noget går galt.
Hvad med de alvorlige brud?
Det sker også, og de er ikke til at ignorere.
Et typisk eksempel er et hackerangreb, hvor uvedkommende får adgang til jeres systemer og persondata. I sådan et tilfælde er det ikke nok at registrere hændelsen i loggen. I skal også anmelde bruddet til Datatilsynet.
Og hvornår skal det ske?
Inden for 72 timer fra det øjeblik, bruddet bliver opdaget. (Og ja, det gælder også, hvis det sker fredag eftermiddag. Weekenden giver ingen fristforlængelse. Uret tikker...)
Hvad skal hændelsesloggen indeholde?
Når et brud sker – stort eller småt – er det vigtigt at få det dokumenteret korrekt.
Her er, hvad hændelsesloggen skal indeholde, så både I og Datatilsynet kan følge med:
- Kontaktoplysninger
Start med at skrive jeres virksomheds kontaktoplysninger. Og gerne navnet på den person, der har ansvaret for GDPR. Det gør det nemt for kolleger at melde ind og for Datatilsynet at stille spørgsmål (uden at ringe rundt i blinde). - Datoer
Hvornår skete bruddet? Og hvornår blev det opdaget? Det er ikke altid det samme, og begge datoer skal med i loggen. - Hvad skete der?
Beskriv hændelsen kort og præcist. Fx “mail om lønoplysninger sendt til forkert modtager.” Ingen grund til at skrive en roman. Bare nok til, at det giver mening for andre (og jer selv om 6 måneder). - Hvilke oplysninger drejer det sig om?
Beskriv hvilke typer persondata, der er tale om. Fx:
- Navn og kontaktoplysninger
- CPR-nummer
- Helbredsoplysninger
Husk også at vurdere, om der er tale om almindelige, fortrolige eller følsomme oplysninger. Det har betydning for, hvor alvorligt bruddet er.
- Skal bruddet anmeldes til Datatilsynet?
Det afhænger af, om bruddet kan udgøre en risiko for de personer, det vedrører. Hvis svaret er ja – så er det bare med at komme i gang. 72-timers fristen tikker.
Hjælp – hvordan kommer jeg i gang?
Vi ved det godt. Du vågner næppe op mandag morgen og tænker: “I dag skal jeg rigtig hygge mig med hændelsesloggen.”
Derfor har vi gjort det nemt og overskueligt for dig.
Vi har lavet en Excel-skabelon, der hjælper dig godt i gang, uden at du skal opfinde den dybe tallerken selv. Skabelonen indeholder:
- Alle de nødvendige felter
- Eksempler på typiske hændelser
- Et hjælpedokument, der guider dig trin for trin
Du får det hele for 900 kr. ex moms.
Herefter er det din opgave at udfylde skabelonen, hver gang der sker et brud i jeres virksomhed. Og hvis du går i stå eller bare vil være helt sikker, så sidder vores jurister klar til at hjælpe dig på tlf. 72 27 90 16.
