Anmeldelse af et persondata sikkerhedsbrud - hvad skal du gøre i praksis?

Den 28. februar har Justitsministeriet frigivet en 37 siders særvejledning om ”Håndtering af brud på persondatasikkerheden” på https://www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen/ og særvejledningen kan hentes på følgende link: https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Vejledninger/Vejledning_sikkerhedsbrud.pdf

Denne vejledning er obligatorisk læsning for alle organisationer, som behandler persondata, og vejledningen peger på ANSVARLIGHED, forberedelse og god praksis som hjørnesten i arbejdet med brud på persondatasikkerheden. I vejledningens afsnit 7-10 gennemgås i praksis hvordan organisationen skal håndtere et brud på persondatasikkerheden og informationerne herunder her taget derfra:

Et brud på persondatasikkerheden er som udgangspunkt at finde i GDPR definition 12 som siger: “ Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret og opbevaret eller på anden måde behandlet.”

Vejledningen omhandler kun informationssikkerhedshændelser (Se ISO27001), som har relevans for persondatasikkerheden.

Alle brud på persondatasikkerheden i organisationen SKAL dokumenteres (se procesbeskrivelse på side 30) og dokumentationen skal som minimum indeholde:

Et brud på persondatasikkerheden skal ikke anmeldes til Datatilsynet, hvis det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Det er op til organisationen at foretage en risikovurdering forud for en evt. anmeldelse til myndighederne og resultatet af denne vurdering lægges til grund for anmeldelsen.

En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination, identitetstyveri eller -svindel, økonomisk tab,skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede. Overvejelser der bør indgå i risikovurderingen er (se mere på side 7):

Sanktioner for manglende efterlevelse kan f.eks. bestå i, at Datatilsynet udtaler kritik eller udsteder et påbud til den dataansvarlige. Afhængigt af omstændighederne i hver enkelt sag kan der imidlertid også blive tale om at sanktionere den manglende efterlevelse af reglerne med bøde-enten i kombination med eller i stedet for en af Datatilsynets korrigerende beføjelser. Ved kritiske eksempler på manglende efterlevelse vilder blive tale om en retssag, hvor domstolene afgør bødens størrelse, som kan være på maksimalt 150 millioner kroner eller 4% af organisationens årsomsætning afhængigt af, hvad der er størst.

Selve anmeldelsen forventes at skulle foretages via en elektronisk blanket, som kan nås via et link på www.virk.dk. Det er den dataansvarlige,som skal foretage denne indberetning, men den dataansvarlige kan uddelegere denne opgave. Indberetningen skal ske efter persondata-sikkerhedsbruddet er blevet den dataansvarlige ”bekendt”, hvilket vil sige at bruddet efter en intern vurdering er en realitet.

Fra det øjeblik hvor bruddet er blevet bekendt har organisationen (den dataansvarlige eller dennes stedfortræder) MAKSIMALT 72 timer (3 døgn) til at melde bruddet til myndighederne, hvis det er muligt. Hvis det ikke er muligt, skal organisationens anmeldelse ledsages af en begrundelse for forsinkelsen.

Anmeldelsen til myndighederne kan ske trinvist og forventes som minimum at:

Bemærk at de 72 timer er en absolut MAKSIMUM frist for anmeldelse og der tages IKKE højde for ferie, weekend og helligdage. Det betyder at hvis sikkerhedsbruddet er blevet bekendt fredag morgen klokken 10 er anmeldelsesfristen mandag morgen klokken 10.

Hvis der er tale som følsomme persondata (som fx data om børn eller data der kan påvirke ”individets frihedsret”), skal der uden unødig forsinkelse ske en DIREKTE underretning af den registrerede. Denne underretning skal være i et klart forståeligt sprog,  må ikke koste noget og må ikke være en del af anden kommunikation (fx et nyhedsbrev). Underretningen til den registrerede skal:

 

Draware’s kommentarer til praktisk udmøntelse: 

1.) For at ovenstående er muligt at gennemføre i praksis, skal organisationen afsætte tid, budget og arbejdskraft til en metodisk tilgang til behandlingssikkerhed (artikel 32) og notifikationspligt (artikel 33-34). Resultatet af denne indsats skal gerne være på skinner inden 25. maj i år.
Er resultatet ikke klart inden 25. maj, skal der i det mindste være en detaljeret plan for hvordan og hvornår den bliver klar.

2.) For at punkt 1 er muligt, skal IT-Sikkerhedsinitiativet være forankret hos organisationens ledelse. Det er så ubetinget den største hæmsko for efterlevelse i mange organisationer. Her kan Draware’s ”Ledelsesprofil” hjælpe (se punkt 8).

3.) Ovenstående kræver at organisationen adopterer en sikkerhedsstandard og her peger vi på ISO27002 og Center for Internet Security 20 Critical Security Controls 
Download pdf om "Cyberforsvar der virker" fra Digitaliseringsstyrrelsen 

4.) For at udmønte punkt 3 i praksis, skal der gennemføres en GAP analyse, som klarlægger organisationens nuværende IT-Sikkerhedsprofil (A) og organisationens målsatte IT-Sikkerhedsprofil (B) og en plan for at komme fra A til B. Du kan bruge Draware’s ”Dansk IT-Sikkerhedsbarometer™” til at komme igennem denne proces. (www.draware.dk/gap).

5.) Alle IT-Sikkerhedsmæssige tiltag skal dokumenteres og kontrolleres efter retningslinjerne:

Her kan Draware’s ”Kontrolprofil” hjælpe dig.

6.) Som en del af de praktiske tiltag i forbindelse med punkt 4 skal organisationen have et ”Incident Response Team” (CSIRT) og en ”Incident Response Plan” (CSIRP) efter retningslinjerne i NIST 800-61R2. Ellers bliver det helt usandsynligt (umuligt) at opfylde notifikationspligten på de 72 timer. 

CSIRT og CSIRP skal være dokumenteret, indøvet og revurderet for at virke. Dette er et krav. Læs mere her 

7.) For at kunne opfylde myndighedernes krav til dokumentation af et sikkerhedsbrud skal du have den nødvendige sporbarhed på persondata. Det
er ikke en triviel ”next next next” opgave men kræver en omhyggelig indsats, der kan være langvarig og ressourcetung.
Her kan Draware’s ”Sikkerhedsprofil” bruges.

8.) Draware’s GAP Analyse koncept ”Dansk IT-Sikkerhedsbarometer™” med følgende profiler er forklaret i detaljer på www.draware.dk/gap samt i følgende dokumentation: Draware Dansk IT-Sikkerhedsbarometer™

9.) Husk at behandlingssikkerhed ikke drejer sig om, hvor sikker organisationen er, men om hvilket niveau af risiko organisationen vil acceptere. Netop derfor er det afgørende, at initiativet er forankret hos organisationens ledelse. Her kan Draware’s ”Risikoprofil” hjælpe. Bemærk også at IT-Sikkerhed er en væsentlig del af informationssikkerhed – fx udgør IT-Sikkerhed 66 ud af de 114 kontroller i ISO27001/2 anneks A.  

Vi hører tit at IT-Sikkerhed ikke er prioriteret til fordel for et fokus på informationssikkerhed som ofte har en HR/juridisk forankring. Det er en farlig prioritering fordi den tekniske digitale IT-Sikkerhed er den væsentligste hjørnesten i behandlingssikkerheden og notifikationspligten.

Kontakt Christian Schmidt for at høre nærmere om, hvordan vi kan hjælpe dig med at udmønte behandlingssikkerheden og notifikationspligten i praksis.