2021: Datatilsynet sætter spot på persondatasikkerheden og sikkerhedsbrud

Lige nu bør I have særligt fokus på, om I i virksomheden specifikt har styr på GDPR-emnerne persondatasikkerhed og brud på den. For kommer Datatilsynet forbi, vil netop disse emner sandsynligvis komme under luppen. Spørgsmålet er, om I er klar?

Hver tredje virksomhed har ikke en plan for, hvad de gør, hvis der opstår et brud på persondatasikkerheden hos dem. Det viser en undersøgelse, som Visma DataLøn lavede i sommeren 2020. Virksomhederne risikerer med andre ord, at Datatilsynet ikke vil være tilfredse, hvis deres undersøgende øjne falder netop på dem - enten ved et besøg eller via en såkaldt forespørgsel.

Her introducerer vi dig til, hvad du bør have på plads inden et eventuelt tilsyn, hvor der er fokus på persondatasikkerheden og brud på den.

Sådan griber I grundlæggende persondatasikkerheden an

Som arbejdsgiver behandler man en lang række personoplysninger om sine medarbejdere. Og GDPR kræver, at man tager stilling til - og kan dokumentere - hvordan man passer på dem. Men hvad kræver det konkret at honorere kravet? 

GDPR foreskriver, at man blandt andet skal iværksætte “tekniske og organisatoriske sikkerhedsforanstaltninger”. Foranstaltningerne skal sikre, at alle personoplysninger opbevares og behandles forsvarligt. 

Man kan dele foranstaltningerne op i tre kategorier med tilhørende opgaver:

• Tekniske: I skal have styr på it-sikkerheden, adgangene til jeres systemer og kryptering af data
• Organisatoriske: I skal have formuleret regler eller politikker i virksomheden om, hvordan I må behandle personoplysninger, og medarbejderne skal være uddannet i at følge dem
• Fysiske: Bygningen, skabe og skuffer skal være sikret tilstrækkeligt mod uvedkommende

Præcis hvilke foranstaltninger, der er relevante i jeres virksomhed, afhænger af en konkret vurdering. Men alle virksomheder skal kunne dokumentere, at de passer tilstrækkeligt på de personoplysninger, de behandler.

Brud på persondatasikkerheden

Selv om man har - eller får - fuldstændig styr på persondatasikkerheden, er der i både manuelle og automatiske processer risiko for, at der opstår fejl. Det vil de allerfleste faktisk opleve. Og hvis en fejl påvirker de personoplysninger, man behandler - for eksempel at man får slettet nogle data for tidligt, får ændret dem eller delt dem med nogen, som ikke skulle have haft dem - er der tale om et brud på persondatasikkerheden.

Typiske sikkerhedsbrud - og hvad du gør for at forhindre dem

Ifølge Datatilsynets statistikker er de brud, der oftest kommer dem for øre, videregivelse af oplysninger til forkerte modtagere. Det kan derfor være en idé at starte med at undersøge og strømline jeres egne processer: Hvordan deler I personoplysninger i virksomheden? Får I godt styr på det, kan I måske forebygge en sag, der bidrager til statistikken. Sender I for eksempel personoplysninger på mails eller gennem sikrede systemer? Har I organiseret jer, så det alene er folk med et arbejdsbetinget behov, der har adgang til personoplysningerne? Og hvad gør I, hvis for eksempel en computer eller en harddisk bliver stjålet?

Hvis uheldet er ude, skal alle kende planen

Uanset om der er tale om utilsigtet videregivelse af personoplysninger eller et andet brud på persondatasikkerheden, er det enormt vigtigt, at I i virksomheden ved, hvordan I skal reagere. I skal nemlig hurtigt vurdere, om bruddet er så alvorligt, at det skal anmeldes til Datatilsynet. Hvis det er tilfældet, skal det anmeldes inden for 72 timer.

Det er derfor også virkelig vigtigt, at alle medarbejdere i virksomheden er trænet i at identificere et brud på persondatasikkerheden og forstår, at de altid skal reagere på det - og ved, hvad de så konkret skal gøre.

Vi anbefaler, at I får udarbejdet en plan, der klart beskriver trin for trin, hvordan I håndterer brud på persondatasikkerheden, hvem der har ansvar for hvad, og at I deler denne plan med alle relevante medarbejdere i virksomheden.

Du kan eventuelt starte med at hente vores trin-for-trin guide "Førstehjælp ved sikkerhedsbrud". 

Alle - som i alle - brud på persondatasikkerheden skal registreres

Der er desværre ikke noget firkantet og helt klart svar på, hvornår et brud på persondatasikkerheden skal anmeldes til Datatilsynet. Det afhænger blandt andet af bruddets karakter og hvilke persondata, det involverer. For at kunne svare skal I vurdere, hvor stor en risiko for de personer, hvis data det handler om, bruddet medfører.

Men selv hvis bruddet ikke skal anmeldes, skal I stadig huske at registrere det i en hændelseslog, så I til enhver tid kan vise Datatilsynet, at I har håndteret bruddet, og håndteret det korrekt. 

Det er værd at bemærke, at man ikke skal være nervøs for, at der kommer sikkerhedsbrud i hændelsesloggen. Man fristes til at sige næsten tværtimod. For det er mere bemærkelsesværdigt (og usandsynligt), at den er tom. I hvert fald er det ikke i sig selv inkriminerende for virksomheden, at man har haft et brud. Det er ikke selve bruddet der er ulovligt, det er håndteringen af bruddet, der kan være problematisk. Derfor skal I altid kunne dokumentere, at I har brud-procedurerne på plads, og at de bliver fulgt.

Når Datatilsynet i 2021 har særligt fokus på persondatasikkerhed og sikkerhedsbrud, er det en ekstra god anledning til at komme i gang - eller videre.

Få hjælp til at udarbejde jeres plan for at håndtere sikkerhedsbrud

Ud over at du kan finde flere tips i vores guide om at håndtere sikkerhedsbrud, er du altid velkommen til at ringe til Visma DataLøns jurister og få direkte sparring om GDPR. De sidder klar på vores juridiske hotline mandag til fredag fra kl. 9 til 15. Ring på 72 27 90 16.