Sikkerhedsbrud: Sådan håndterer din organisation brud på persondatasikkerheden

Sikkerhedsbrud: Sådan håndterer din organisation brud på persondatasikkerheden

Compliance IT-ret EU-ret Persondata og cybersikkerhed
GDPR skærper kravene ved brud på persondatasikkerheden. Få overblik over de centrale skridt: risikovurdering, indberetning inden 72 timer, underretning af registrerede ved høj risiko og systematisk dokumentation. Artiklen samler også praktiske råd til forebyggelse og beredskab.
SE
Stefanie Lynge Eriksen
NM
Nicoline Madsen

Brud på persondatasikkerheden kræver hurtig og struktureret håndtering. Efter GDPR skal den dataansvarlige vurdere risikoen for de registreredes rettigheder og frihedsrettigheder og om nødvendigt indberette til tilsynsmyndigheden inden 72 timer. Databehandlere skal uden unødig forsinkelse underrette den dataansvarlige. Se forordningen her: GDPR.

Retlige krav ved brud

Et sikkerhedsbrud omfatter enhver hændelse, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger. Indberetning efter art. 33 skal beskrive hændelsen, konsekvenser og trufne foranstaltninger. Hvis der er høj risiko for de registreredes rettigheder, skal de registrerede informeres klart og rettidigt efter art. 34.

Alle brud – også dem, der ikke indberettes – skal dokumenteres i en hændelseslog, så tilsynet kan efterprøve vurderingerne. Nationale regler supplerer GDPR, jf. databeskyttelsesloven på retsinformation.dk.

Operativ håndtering

En effektiv beredskabsproces bør være forankret i klare roller, beslutningsveje og skabeloner. Følgende trin kan understøtte en ensartet håndtering:

  1. Inddæm hændelsen teknisk og organisatorisk, og sikre beviser.
  2. Klassificér bruddet og foretag en risikovurdering af data, omfang og påvirkede registrerede.
  3. Afgør indberetning til Datatilsynet og eventuel underretning af registrerede.
  4. afhjælpende foranstaltninger.
  5. Kommunikér til registrerede i klart sprog og med praktiske råd.
  6. Registrér forløbet og gennemfør læring og forbedringer.

Test beredskabet via øvelser, og sikr at databehandlere og andre leverandører kan reagere inden for aftalte frister. Hold kontaktpunkter og eskalationsveje opdaterede. Se vejledning hos Datatilsynet.

Forebyggelse og dokumentation

Styrk sikkerheden med flerfaktorlogin, stærke adgangskoder, opdatering og patching, kryptering, mindst mulige rettigheder, segmentering og effektiv logning. Kombinér tekniske kontrolforanstaltninger med politikker, awareness-træning og klare retningslinjer for e-mail og mobiludstyr.

Sørg for ajourførte databehandleraftaler, leverandørtilsyn og DPIA, hvor risici er høje. Dokumentér beslutninger, vurderinger og foranstaltninger – det er kernen i robust compliance og styrker jeres position ved et eventuelt tilsyn.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Dokumentation, Databehandleraftale, Risikovurdering, Tekniske foranstaltninger, Informationssikkerhed, Complianceprogram, Beredskabsplan, Datatilsynet, DPIA, Databeskyttelse, Dataansvarlig, GDPR art. 33, GDPR art. 34, Slettepolitik, Awareness træning, Dataminimering, Cybersikkerhed, Incident response, Brud på persondatasikkerheden, Kryptering, Databehandler, Notifikationspligt, Behandlingssikkerhed, Tilsynsmyndighed, Logning, Organisatoriske foranstaltninger, Adgangskontrol, Afhjælpende foranstaltninger, Fortrolighed integritet tilgængelighed, Konsekvensvurdering, Persondataret, Datalæk, Phishing, Underretning, Hændelseslog, Indberetningsskema, Berørte registrerede, Hackerangreb, Opbevaringssikkerhed

Relaterede artikler

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem
STORM Advokatfirma

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem

Culpaansvar, kapitaltab og truende insolvens skærper kravene til bestyrelsens tilsyn og dokumentation. Få overblik over pligter efter selskabsloven og konkrete governance-tiltag, der reducerer risikoen for personlig hæftelse, fra kapitalberedskab til krisestyring.
Norlys afhænder antenneforeningsaftaler i Trekantområdet af hensyn til konkurrencen
Konkurrence- og Forbrugerstyrelsen

Norlys afhænder antenneforeningsaftaler i Trekantområdet af hensyn til konkurrencen

Konkurrencerådet godkender tre aftaler, der gennemfører Norlys’ tilsagn efter overtagelsen af Ewii Fibernet. Norlys forlader coax-aktiviteter i Trekantområdet, så fiber og coax fortsat konkurrerer. Tiltaget modvirker prisstigninger og bevarer kundernes reelle valgmuligheder.
Nye FSR-retningslinjer
Gorrissen Federspiel

Nye FSR-retningslinjer

Kommissionens nye retningslinjer til forordningen om udenlandske subsidier udvider forståelsen af fordrejning og skærper beviskravene. Virksomheder med tredjelandsstøtte bør styrke dokumentationen, kortlægge finansielle bidrag og afklare notifikationspligt i M&A og udbud for at undgå forsinkelser og call-in.
Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici
Erhvervsstyrelsen

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici

Kapitalfonde i revisionsbranchen kan styrke teknologi og vækst, men skærper risikoen for uafhængighedsbrud og kvalitetsfald. Få overblik over revisorlovens ejerskabsregler, etiske standarder og praktiske tiltag, der reducerer regulatoriske og driftsmæssige risici.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Erhvervsministeriet
Dygtige jurister til arbejdet med velfungerende kapitalmarkeder
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →