GDPR: Vigtig viden ved anmeldelse af sikkerhedsbrud
3. december 2020
4 minutters læsetid
Emner
Der er fire vigtige videnspunkter du som dataansvarlig skal være opmærksom på, hvis du skal anmelde et sikkerhedsbrud. Få dem her.
Siden reglerne i databeskyttelsesforordningen (GDPR) trådte i kraft i 2018, er det i større grad end tidligere op til de dataansvarlige selv at vurdere, hvornår et brud på datasikkerheden medfører en risiko, og hvornår der skal ske anmeldelse til henholdsvis Datatilsynet og de berørte personer. Denne vurdering er imidlertid ikke altid let at foretage.
For mange er det en befrielse selv at få lov til at vurdere alvorligheden af et sikkerhedsbrud, men for mange kan det også være en kilde til usikkerhed, fordi man ikke ved, hvor grænsen skal drages.
I praksis oplever jeg ofte, at det særligt er ukendskab til om eller hvornår manglende anmeldelse fører til store millionbøder, som bekymrer flere af mine klienter. Blot en lille smule kendskab til anmeldelsessystemet, kan reducere denne usikkerhed markant. Det kan også hjælpe med at tilpasse indsatsen således der ikke anvendes flere omkostninger end nødvendigt, men ej heller færre således at risikoen for ansvar øges. Ud fra en forretningsmæssig synsvinkel handler det om, at få balance mellem omkostninger og risiko. Med andre ord, skal indsatsen være tilpasset organisationens egen risiko og profil.
En korrekt håndtering af anmeldelsespligten forudsætter særligt visse grundlæggende færdigheder.
Et ”sikkerhedsbrud” i persondataforordningens forstand betyder et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet.
Bliver personoplysninger ikke krænket fordi forsøget på uautoriseret adgang slår fejl, eller er der tale om autoriseret adgang som dog er ulovlig fordi formålet ikke er sagligt, er der som udgangspunkt ikke tale om sikkerhedsbrud.
Hvis det er usandsynligt at sikkerhedsbruddet medfører en risiko for de berørte personers rettigheder, skal der ikke ske nogen anmeldelse.
Hvis det ikke er usandsynligt at sikkerhedsbruddet medfører risiko for de berørte personers rettigheder, skal der ske anmeldelse til Datatilsynet, men ikke nødvendigvis til de berørte personer.
Hvis sikkerhedsbruddet medfører en høj risiko for de berørte personers rettigheder, skal der både anmeldes til Datatilsynet og ske orientering af de berørte personer.
Vurderingen bør foretages straks sikkerhedsbruddet opdages og er behørigt belyst. Anmeldelse til Datatilsynet skal ske uden unødig forsinkelse, og går der mere end 72 timer, skal der angives en begrundelse herfor. For orientering af de berørte personer gælder det blot, at det skal ske uden unødig forsinkelse.
Her kan du finde en mere detaljeret gennemgang i Datatilsynets vejledning.
Indberetning skal som hovedregel ske via Erhvervsstyrelsens digitale indberetning. Visse organisationer kan være underlagt særlige krav, men disse tilfælde omtales ikke nærmere her.
Indberetning kræver NEM-ID samt oplysninger omkring sikkerhedsbruddets omstændigheder.
Du kan finde indberetningsportalen med vejledning her.
Teoretisk set kan konsekvenserne ved manglende anmeldelse være at få udtalt kritik, påbud, eller få pålagt bøde. Den præcise grænse er ikke klar, man der skal formentligt foreligge grove tilfælde før der pålægges bøder.
I en forholdsvis ny afgørelse offentliggjort af Datatilsynet i november 2020, blev der alene udtalt kritik af en kommune. Kommunen have ikke anmeldt som sikkerhedsbrud, at en påtænkt opsigelse og oplysninger om helbred og fagforeningsforhold blev fremsendt til en forkert medarbejder i kommu-nen.
Konsekvensen ved at indgive anmeldelse kan efter omstændighederne være kritik, påbud eller bøde, såfremt forholdet er graverende. Statistisk set må det dog antages, at langt de fleste anmeldte sik-kerhedsbrud enten ikke giver anledning til nogen sanktion overhovedet, eller alene medfører kritik eller påbud om at styrke sikkerheden fremover.
I Datatilsynets årsrapport for 2019 fremgår, at der blev modtaget 7.242 anmeldelser. Desuagtet har vi ikke set en væsentlig og offentliggjort bøde eller bødeforlæg henført til disse anmeldelser. I en anmeldelse som vedrørte over 250.000 personer, pålgade Datatilsynet den dataansvarlige at give meddelelse til en gruppe af de berørte personer. I en anden sag udtalte tilsynet alvorlig kritik af et universitet, som ikke havde anmeldt et stjålet kamera indeholdende helbredsoplysninger om patienter i forbindelse med medicinstuderendes praktiske forløb hos praktiserende læge. Ingen af tilfældene medførte bøde.
Det kan formentligt konkluderes, at Datatilsynet anlægger en fornuftig og reel vurdering af anmeldelserne, således at virksomheder og myndigheder ikke ”straffes” for at være ærlige i deres indberetninger.
Man bør derfor som udgangspunkt ikke frygte en voldsom bødestraf for at anmelde et sikkerhedsbrud.
Du er altid velkommen til at henvende dig til os og få en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.
