Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny vejledning fra Datatilsynet om sikkerhedsbrud

Bird & Bird
09/03/2018
Persondata
Ny vejledning fra Datatilsynet om sikkerhedsbrud
Den nye vejledning fra Datatilsynet giver private virksomheder og offentlige myndigheder nogle retningslinjer til at vurdere, om de i tilfælde af et sikkerhedsbrud har pligt til at underrette Datatilsynet og de registrerede om bruddet.



Hvad siger GDPR om sikkerhedsbrud?

Hvis der sker et brud på persondatasikkerheden, har den berørte organisation som udgangspunkt pligt til at anmelde det til Datatilsynet inden for 72 timer efter, at bruddet er blevet konstateret.

Hvis bruddet sandsynligvis indebærer en høj risiko for de registreredes rettigheder, har organisationen herudover pligt til at orientere de berørte personer om bruddet.


Hvad er et sikkerhedsbrud?

Et brud på persondatasikkerheden er i henhold til GDPR artikel 4 "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet."

Et sikkerhedsbrud kan både forårsages af udefrakommende, der får adgang til personoplysningerne, fx hacking, og af den dataansvarliges egen håndtering af personoplysninger, fx hvis personoplysninger ubeføjet videregives eller ændres.

Ifølge Datatilsynet kan der også ske et brud på persondatasikkerheden, hvis den dataansvarlige i en periode ikke har adgang til personoplysningerne, fx som følge af brand eller oversvømmelse.

Læs mere om persondatasikkerhedsbrud i Datatilsynets nye vejledning


Hvornår skal bruddet anmeldes til Datatilsynet?

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet. Organisationer fritages kun for anmeldelsespligten, når det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder.

Ved vurderingen heraf skal der lægges vægt på:

  1. typen af sikkerhedsbruddet,

  2. oplysningernes art og omfang,

  3. risikoen for at registrerede kan identificeres,

  4. de konsekvenser bruddet kan have for de registrerede,

  5. hvorvidt bruddet omfatter særlige kategorier af registrerede (fx børn), og

  6. antallet af berørte fysiske personer.


Et brud på persondatasikkerheden skal eksempelvis ikke anmeldes til Datatilsynet, hvis organisationen har været hurtig til at gribe ind og standse sikkerhedsbruddet, så bruddet ikke har nået at få konsekvenser for de berørte personer.

Den dataansvarlige skal kunne bevise, at det er usandsynligt, at bruddet har fået konsekvenser for de berørte personer. I tvivlstilfælde anbefales det derfor at anmelde bruddet til Datatilsynet.


Hvornår skal de registrerede orienteres om bruddet?

Når de berørte personer i et sikkerhedsbrud i visse tilfælde skal orienteres, er det for at give dem mulighed for at træffe de nødvendige forholdsregler. Det kan eksempelvis være for at undgå identitetstyveri, tab af fortrolighed af oplysninger underlagt tavshedspligt, økonomisk tab etc. Organisationer, der har været udsat for et brud på persondatasikkerheden, er derfor pålagt at foretage en risikovurdering af bruddets potentielle skadevirkninger. Jo mere alvorlige konsekvenser bruddet kan have, jo større vil risikoen være for de berørte personer.

Eksempelvis vil en musikstreamingtjeneste være forpligtet til at orientere de registrerede om et sikkerhedsbrud, hvis dets brugerdatabase stjæles og offentliggøres på internettet. Brugerdatabasen indeholder bl.a. brugernes fulde navn, brugernavn og adgangskode til tjenesten, og den dataansvarlige vil være nødt til at forny brugernes adgangskode. Det vil derfor være nødvendigt at underrette de berørte personer dels for at informere dem om årsagen til, at adgangskoden skal fornys, og dels for at give dem mulighed for at skifte deres adgangskoder på andre konti, da man ofte bruger samme adgangskode til forskellige konti.


Digital løsning for anmeldelser af sikkerhedsbrud

Af vejledningen fremgår endvidere, at der arbejdes på en fælles digital løsning for anmeldelser af sikkerhedsbrud. I visse tilfælde vil en organisation også være forpligtet til at underrette Erhvervsstyrelsen, Center for Cybersikkerhed og Finanstilsynet om et sikkerhedsbrud, og løsningen vil dermed effektivisere anmeldelsesprocessen, idet sikkerhedsbrud kun skal indberettes én gang og ét sted.

Løsningen vil være tilgængelig på www.virk.dk fra den 25. maj 2018.

 

 



 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Jobbørs
Medarbejdere til Det fælleskommunale Databehandlersekretariat (DBS)
Nævnenes Hus søger erfarne jurister i fleksible stillinger nogle timer ugentligt
Jurist til økonomisk regulering af monopoler
Jurist til at håndhæve konkurrencereglerne inden for byggeri, energi, transport,...
Konkurrenceretsjurist med lyst til at arbejde med retssager i Konkurrence- og Fo...
Advokat til familieret søges til attraktiv stilling hos Sagførerne i Risskov
Jurist med blikket rettet mod arbejdsmiljø og retssikkerhed
HR-jurist til personalesager og arbejdet med ATP’s virksomhedsudvalg
Tilmeld jobagent Se alle jobs
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hør podcast
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Se video
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hør podcast
Artikler, der kunne være relevante for dig
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Træning af kunstig intelligens
Træning af kunstig intelligens
03/04/2024
Persondata, Immaterialret
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
Følg Jurainfo.dk på:
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted
Vilkår for publicering af materiale Privatlivs- og cookiepolitik   |   Ret dit samtykke