Ny vejledning fra Datatilsynet om håndtering af brud på sikkerheden – og lidt om graden af sikkerhedsforanstaltninger.

Når jeg taler persondatabeskyttelse med små og mindre virksomheder er der nogle udtalelser, der går igen:

A. det er da ikke noget, vi skal bekymre os om.

B. det har jeg s… da ikke tid til.

C. det gider jeg simpelthen ikke bruge tid på.

MEN…

Persondatabeskyttelse er noget ALLE virksomheder uanset størrelse SKAL bekymre sig om:

1. Også den selvstændige håndværker har jo persondata på sine kunder: navn, post- og mailadresse foruden telefonnummer, for det første for at kunne betjene dem, for det andet for at kunne skrive en faktura til dem på udført arbejde.

Det er i den forbindelse uvedkommende, at når håndværkeren har disse persondata, så er det er for at opfylde momsbekendtgørelsens krav til udformning af en faktura. Det gør det bare nemmere at definere virksomhedens retlige grundlag for at have disse persondata (ét af kravene i persondatalovgivningen).

2. Har virksomheden derudover én eller flere ansatte, har virksomheden flere typer persondata:

• Almindelige persondata: Navn, post- og mailadresse, og telefonnummer. Men også:
• Fortrolige persondata: Cpr-nummer, lønsatser, skatteoplysninger, navn og måske kontaktoplysninger på nærmeste pårørende foruden måske:
• Følsomme persondata: Oplysninger om fagforening og sygdomme.

Og når vi taler fortrolige eller endog følsomme persondata bliver situationen en grad mere alvorlig, disse oplysninger har nemlig krav på en højere grad af beskyttelse end almindelige persondata.

I den seneste vejledning fra Datatilsynet: ‘Vejledning om håndtering af brud på persondatasikkerheden’ er der opført flere eksempler på brud på persondatasikkerheden og hvordan virksomheden skal håndtere dette.

Når oplysninger bliver stjålet

Et af eksemplerne drejer sig om en virksomhed, som har alle data om medarbejdere (også cpr.nr. og helbredsoplysninger) liggende på en computer. Oplysningerne er ikke krypterede, men der skal almindeligt kodeord til for at låse computeren op.

Hvilken virksomhed har ikke data liggende på samme måde? Denne computer stjæles altså under et indbrud – noget, der kan ske for alle virksomheder. Datatilsynet anviser netop i dette eksempel, at da der:

1) er tale om såvel fortrolige som følsomme data,

2) og der med de af virksomheden beskedne sikkerhedsforanstaltninger er risiko for, at uvedkommende kan få adgang til personoplysningerne, skal virksomheden:
Anmelde dette brud på persondatasikkerheden til Datatilsynet.

OG

Underrette hver medarbejder om bruddet, idet der er stor sandsynlighed for, at oplysningerne kan blive kompromitteret. Den registrerede skal således have mulighed for at træffe de fornødne forholdsregler.

Det bemærkelsesværdige i dette eksempel er:

1. At Datatilsynet m.h.t. opbevaring af fortrolige og følsomme persondata betragter det som en
beskeden sikkerhedsforanstaltning at computeren er låst med kodeord.

2. At Datatilsynet anviser, at et sådant tilfælde skal anmeldes til Datatilsynet – noget, der kan have store konsekvenser for virksomheden:

Virksomheden risikerer en bøde for ikke at have sørget for tilstrækkelig beskyttelse af persondata.

Virksomheden risikerer at blive hængt ud – også i pressen, som en virksomhed, der ikke har styr på sine data.

Virksomheden skal, udover at anmelde sikkerhedsbruddet til Datatilsynet indenfor 72 timer efter hændelsen, også forsyne Datatilsynet med en række yderligere oplysninger:

a) Beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

b) Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

c) Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden

d) Beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

e) Fortage en intern dokumentation af hændelsen.

Herom skriver Datatilsynet i vejledningen:

”Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger.

Det er i den forbindelse uden betydning, om bruddet er af en sådan karakter, at den dataansvarlige er forpligtet til at anmelde det til Datatilsynet – også i de tilfælde, hvor den dataansvarlige har vurderet, at bruddet ikke skal anmeldes, skal den dataansvarlige opbevare disse oplysninger.
Den dataansvarlige har alene pligt til at udlevere dokumentationen til Datatilsynet, hvis tilsynet anmoder herom.”

Så kan man, som virksomhed, spørge; hvis kodeords-beskyttelse af computeren ikke er nok, hvad gør vi så? Også her er der hjælp at hente i vejledningen – se nedenstående eksempel hentet fra vejledningen:

Personalechefen i en virksomhed får på togturen hjem fra arbejde stjålet sin taske, hvori der bl.a. ligger en ekstern harddisk indeholdende oplysninger om ansøgere til en opslået stilling i virksomheden. Virksomheden har sikret sig, at de harddiske, der udleveres til medarbejderne, er beskyttet med en stærk kryptering, der ikke umiddelbart vil være mulig for uvedkommende at dekryptere.

I det ovennævnte eksempel kan der, på baggrund af den beskyttelse af de indeholdte oplysninger, som krypteringen af harddisken sikrer, være skabt tilstrækkelig formodning om, at det er usandsynligt, at tabet af harddisken indebærer en risiko for de pågældende jobansøgere. Den dataansvarlige vil således kunne vurdere, at det pågældende brud på persondatasikkerheden ikke skal anmeldes til Datatilsynet. Den dataansvarlige vil dog stadig være forpligtet til at foretage intern dokumentation af bruddet.

Vil du vide mere?

TD Consult er certificeret i Persondatasikkerhed . Vil du have detaljeret rådgivning omkring datasikkerhed og brud, er du altid velkomme til at kontakte TD Consult på +45 40 25 46 26 eller tove@tdconsult.dk.