Databrudspolitik
Når LKA Entreprise A/S (”vi”, ”vores” eller ”os”) arbejder med persondata, er risikoen for, at der på et tidspunkt opstår et databrud høj. Databrud kan variere meget i både størrelse og konsekvenser, og selv små databrud kan have omfattende konsekvenser, mens store databrud kan have minimale konsekvenser. For at være i stand til at håndtere et databrud, skal vi først være i stand til at genkende ét og vide, hvad vi skal gøre ved det. Netop dette er særligt vigtigt, fordi vi har en række forpligtelser, som vi skal overholde, når der opstår et databrud.
I denne plan finder du blandt andet en gennemgang af, hvad et databrud er, og hvad du skal gøre, når et databrud opstår.
Hvad er et databrud?
Et databrud er et brud på vores sikkerhed, der gør, at de personoplysninger, som vi behandler, hændeligt eller ulovligt bliver slettet, går tabt, bliver ændret eller bliver givet eller vist til nogen, der ikke skulle have haft dem.
Databrud opstår typisk som følge af vores egen uheldige håndtering af personoplysningerne. Det kan eksempelvis være, at vi ved en fejl kommer til at sende en e-mail eller et brev med personoplysninger i til en forkert modtager, eller hvis vi kommer til at ændre i nogle personoplysninger eller slette dem fra vores systemer.
Det kan også være fremmede forhold, der fører til et databrud, eksempelvis hvis vores IT-systemer bliver hacket, eller hvis vi får stjålet en taske fra cyklen, hvor der ligger en USB-nøgle med personoplysninger på.
Endeligt kan udefrakommende omstændigheder føre til et databrud, eksempelvis hvis vi som følge af brand eller oversvømmelse i en periode ikke har adgang til personoplysningerne, eller hvis branden eller oversvømmelsen ender med at tilintetgøre dem.
Når vi vurderer, om der er tale om et databrud, skal vi tænke over, hvad konsekvenserne ved hændelsen er. Hvis der er en risiko for, at hændelsen kan påføre personen, der ejer personoplysningerne, skade som fx mistet kontrol over personoplysningerne, begrænsning af sine rettigheder, identitetstyveri eller økonomiske eller sociale konsekvenser, er der tale om et databrud.
Dokumentation
Hvis et databrud opstår, skal vi altid sørge for at skrive så mange ting ned om det, som vi kan. Det gælder, uanset hvor stort eller småt databruddet er, og uanset hvor store eller små konsekvenser det måtte have.
Når vi dokumenterer et databrud, skal vi altid undersøge og notere de følgende ting:
– Dato og tidspunkt for databruddet
– Hvad skete der, da databruddet opstod?
– Hvad er årsagen til databruddet?
– Hvilke typer personoplysninger er omfattet af databruddet?
– Hvilke konsekvenser har databruddet for de berørte personer?
– Hvad har vi gjort for at afhjælpe databruddet efter, at vi opdagede det?
– Har vi anmeldt databruddet til Datatilsynet?
– Har vi underrettet de berørte personer?
Kontakt os hvis du har brug for at få udleveret det skema, vi bruger, når vi dokumenterer et databrud.
Lars Valentin er ansvarlig for at udfylde skemaet og samtidig vurdere, om databruddet har en sådan karakter, at vi skal anmelde det til Datatilsynet og underrette de berørte personer.
Vi er underlagt nogle strenge tidsmæssige krav, når det kommer til databrud. Det kan du læse mere om under punkt 3 ”Anmeldelse til Datatilsynet”. For at vi kan overholde de krav, skal Lars Valentin udfylde dokumentationsskemaet hurtigst muligt og senest 24 timer efter, at vi har opdaget databruddet.
Når skemaet er udfyldt, skal det gemmes på [indsæt beskrivelse og destination].
Vi skal gemme skemaet for at kunne vise Datatilsynet, at vi har håndteret et databrud korrekt, og at vi lever op til vores forpligtelse om ansvarlighed.
Anmeldelse til Datatilsynet
Et databrud medfører ofte en risiko for de personer, der er berørt af databruddet. Når et databrud medfører en risiko, betyder det, at de personer, hvis personoplysninger er påvirket, kan blive udsat for fx diskrimination, identitetstyveri, svindel, skade på deres omdømme eller en anden form for væsentlig økonomisk eller social ulempe.
Vi kan have en pligt til at anmelde et databrud til Datatilsynet, når databruddet medfører en risiko for de berørte personers rettigheder.
Hvilke typer databrud skal anmeldes til Datatilsynet
Som udgangspunkt skal alle databrud meldes til Datatilsynet. Det er kun i de situationer, hvor det er usandsynligt, at databruddet indebærer en risiko for de berørte personers rettigheder, at vi kan lade være med at anmelde et databrud. Det kan fx være, hvis vi er hurtige til at gribe ind, eller hvis oplysninger ved en fejl er blevet slettet, at vi har kunne genskabe dem fra vores backup.
Det kan også være, at vores sikkerhedsforanstaltninger minimerer eller eliminerer risikoen. Det kan eksempelvis være, hvis en kollega får stjålet sin taske med en USB-nøgle, hvor der ligger personaleoplysninger på. Hvis vi har sikret os, at vores USB-nøgler er beskyttet med en stærk kryptering, er det ikke umiddelbart muligt for andre at dekryptere den, og det er derfor nok også usandsynligt, at tyven får adgang til oplysningerne. Tyveriet – og dermed databruddet – har derfor ikke haft nogen konsekvenser for nogen personer.
Når du eller andre skal vurdere risikoen ved et databrud, skal vi bruge de oplysninger, vi har skrevet i dokumentationsskemaet i bilag 2. Derudover skal vi også altid overveje de følgende ting:
Typen af sikkerhedsbrud:
Her skal vi tænke over, om der er sket tab af oplysninger, brud på fortroligheden, eller om der er sket en integritetskrænkelse. Det betyder, at vi eksempelvis skal undersøge, om databruddet er sket ved, at personoplysninger er blevet slettet eller ændret og derfor ikke længere er tilgængelige, om personoplysninger er blevet offentliggjort, eller om der er nogle, der har stjålet personoplysningerne. Konklusionen på de overvejelser er typen eller typerne af sikkerhedsbruddet.
Typen af personoplysninger og omfang:
Typen af de personoplysninger, der er omfattet af databruddet, er ofte afgørende for vurderingen af risikoen. Det betyder, at jo mere følsomme personoplysninger, der er tale om, jo større konsekvenser har databruddet sandsynligvis for de berørte personer. Det er vigtigt, at vi altid tænker over de konkrete oplysninger i den konkrete situation. Eksempelvis er offentliggørelsen af en medarbejders adresse en almindelig personoplysning og har normalt ikke alvorlige konsekvenser. Men hvis personen har adressebeskyttelse, kan konsekvenserne af databruddet være alvorlige.
Mulighed for at de berørte personer kan identificeres:
Det kan også spille ind i vurderingen af risikoen, hvad muligheden er for, at de berørte personer kan identificeres enten direkte eller ved at sammenholde oplysningerne med anden information. Hvis databruddet eksempelvis er opstået ved, at vi har tabt en USB-nøgle med kundeoplysninger i toget, vil det have betydning for vurderingen, om USB-nøglen er krypteret eller beskyttet på en anden måde, så det ikke er muligt at komme ind i den og identificere personerne.
Konsekvenserne af databruddet:
Hvis databruddet har ramt oplysninger om personer, der er særligt sårbare eller udsatte, kan den skade, databruddet fører med sig være større end ellers. Det samme er tilfældet, hvis vi ved, at oplysningerne er landet i hænderne på kriminelle, der har onde hensigter, eller hvis databruddet er længerevarende eller permanent, så det ikke kan bremses ved fx at spærre betalingskort.
Særligt sårbare eller udsatte personer er eksempelvis børn, handicappede eller medlemmer af udsatte befolkningsgrupper. I vurderingen kan der også lægges vægt på, om der blandt de berørte personer er offentligt kendte personer eller personer under vidnebeskyttelse, som et ellers mindre farligt databrud vil have store konsekvenser for.
Antallet af berørte fysiske personer:
Risikoen ved et databrud stiger som udgangspunkt i takt med antallet af personer, der er berørt af det. Vi skal dog huske på, at der altid er tale om en konkret vurdering, og at mange berørte personer ikke nødvendigvis er ensbetydende med en høj risiko.
Endeligt skal vi også huske på, at uanset, om vi vurderer, at databruddet skal anmeldes til Datatilsynet eller ej, skal dokumentationsskemaet i bilag 2 altid udfyldes, og vurderingen af risikoen skal skrives ind i dokumentationsskemaet.
Hvornår skal et databrud anmeldes til Datatilsynet
Så snart vi har konstateret, at vi har et databrud, der medfører en risiko for de berørte personers rettigheder, skal databruddet anmeldes til Datatilsynet. I alle tilfælde skal anmeldelsen være sket senest 72 timer efter, at vi er blevet bekendt med databruddet. Det betyder, at vi skal anmelde databruddet, så snart det er muligt – også selvom det tidspunkt ligger før udløbet af de 72 timer.
Særligt i forhold til e-mails sendt til forkerte modtagere er det på nuværende tidspunkt uklart, om fristen på de 72 timer løber fra det tidspunkt, hvor vi har modtaget en e-mail, der gør os opmærksomme på databruddet hos os, eller fra det tidspunkt, hvor vi har opdaget og læst e-mailen. Ud fra et forsigtighedsprincip er det besluttet, at databrud anmeldes til Datatilsynet senest 72 timer efter, at en e-mail med oplysning om databrud hos os er modtaget.
Hvis vi ikke overholder fristen, kan vi som en absolut undtagelse lave anmeldelsen efter udløbet af de 72 timer. Hvis det skulle blive tilfældet, skal vi oplyse de særlige grunde, der gjorde det umuligt for os at lave anmeldelsen inden for fristen. Det er dog vigtigt at huske på, at selv en god begrundelse for, at vi ikke har overholdt fristen, ikke nødvendigvis redder os fra, at Datatilsynet giver os kritik eller en bøde for ikke at overholde fristen.
Vi har udpeget Lars Valentin som ansvarlig for at håndtere databrud hos os.
Når vi har mistanke om eller har konstateret et databrud, er det Henriette Lars Valentin, der er ansvarlig for at udfylde dokumentationsskemaet og indberette databrud til Datatilsynet.
Hvilke oplysninger skal vi give Datatilsynet
Når vi anmelder et databrud til Datatilsynet, skal vi give Datatilsynet så mange oplysninger, som vi kan. Det er blandt andet oplysninger om, hvad der er sket, hvilke typer oplysninger, der er berørt, og hvad konsekvenserne er eller sandsynligvis vil være.
Vi skal som minimum altid give Datatilsynet følgende oplysninger, hvis det er muligt:
Databruddets karakter, hvilket betyder
- Hvad der er sket, og hvordan det skete,
- Et cirka-antal personer, der er berørt, og kategorierne af de personer,
- Om de berørte personer er placeret i andre EU-lande og i givet fald hvor,
- Hvilke typer personoplysninger, der er tale om og
- Et cirka-antal registreringer, der er omfattet af databruddet,
- Navn og kontaktoplysninger på den databrudsansvarlige,
- De sandsynlige konsekvenser, som databruddet vil have, og
- De foranstaltninger, som vi enten allerede har iværksat eller foreslår at iværksætte for at håndtere databruddet og for at begrænse skaderne, i det omfang det er muligt.
Det vigtigste er, at vi overholder fristen for anmeldelse af databrud til Datatilsynet på 72 timer efter, at vi har opdaget databruddet. Det betyder, at vi altid skal anmelde et databrud til Datatilsynet inden udløbet af de 72 timer, uanset at vi ikke nødvendigvis har alle oplysningerne endnu. Hvis det er tilfældet, skal vi i stedet give oplysningerne til Datatilsynet trinvist, så snart det er muligt.
Når vi har foretaget anmeldelsen, skal vi give Datatilsynet besked, i takt med at vi får flere oplysninger om databruddet og dets konsekvenser, så Datatilsynet lettere og hurtigere kan vurdere databruddet og vores håndtering af det.
Sådan anmelder vi
Anmeldelse af databrud sker via et link til Erhvervsstyrelsen, der er her: https://indberet.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed.
Når vi anmelder et databrud, skal du bruge din digitale signatur til at logge ind. Du skal herefter følge vejledningen på skærmen og udfylde blanketten med de oplysninger, vi har til rådighed.
Når blanketten er udfyldt og indsendt, bliver den sendt til Erhvervsstyrelsen, der sørger for at sende den videre til Datatilsynet. Datatilsynet vil kontakte os direkte, hvis de mener, at det er nødvendigt.
Det er vigtigt, at du downloader en kopi af alle blanketter, der bliver indsendt. Erhvervsstyrelsen sletter indsendte blanketter i sine systemer efter 30 dage, og den downloadede kopi er derfor det eneste bevis på, at vi har foretaget indberetningen.
Underretning af de registrerede
Hvis der opstår et databrud, der vil have en høj risiko for de berørte personers rettigheder og frihedsrettigheder, skal vi både dokumentere databruddet og anmelde det til Datatilsynet, men vi skal også underrette de berørte personer om databruddet.
Det skal vi gøre for blandt andet at give de berørte personer mulighed for at træffe de nødvendige forholdsregler for at kunne beskytte sine oplysninger bedst muligt.
Høj risiko
Vi kan ikke på forhånd lægge fast, hvad en ”høj risiko” er, men jo mere alvorlige konsekvenser et databrud kan have, jo større er risikoen for de berørte personer. Det betyder samtidig, at ved vurderingen af, om en risiko er høj, skal vi tage alle de mulige konsekvenser i betragtning – både de direkte og de indirekte konsekvenser. En indirekte konsekvens er fx, hvis vores databrud har konsekvenser for de berørte personer, der rækker ud over bare deres oplysninger hos os.
Til eksempel kan et databrud, der både har direkte og indirekte konsekvenser opstå, hvis en TV-udbyder bliver hacket, og deres database med cirka 12.000 brugere af online-tjenester bliver stjålet og offentliggjort. De berørte personoplysninger er blandt andet navne, brugernavne og adgangskoder til tjenesten, og selvom konsekvenserne ved databruddet for de berørte personer kan virke harmløse, skal vi alligevel overveje, om de berørte personer skal underrettes i lyset af omfanget og typen af personoplysninger.
Da adgangskoderne til online-tjenesterne er blandt de stjålne oplysninger, skal de fornyes af TV-udbyderen, og det er nødvendigt at informere de berørte personer om årsagen til, at adgangskoderne skal fornyes. Men eftersom mange personer bruger den samme adgangskode til forskellige tjenester, fx til banker, e-mailkonti eller sociale medier, har databruddet sandsynligvis også den indirekte konsekvens, at der er sket et brud på fortroligheden på de berørte personers andre konti.
De berørte personer vil selv kunne minimere de indirekte konsekvenser, som fx at tyvene hacker sig ind i deres e-mailkonti, ved at skifte adgangskoden på alle deres andre konti. TV-udbyderens underretning skal derfor også indeholde oplysninger om de sandsynlige indirekte konsekvenser for andre konti, og underretningen bør derfor omfatte en anbefaling om at bruge forskellige adgangskoder på forskellige websteder og om at forny adgangskoderne til konti, hvor den kompromitterede adgangskode blev anvendt.
Samtidig med at dokumentationsskemaet i bilag 2 bliver udfyldt, og vurderingen af, om vi skal anmelde databruddet til Datatilsynet, foretages, vurderer vi, om databruddet har en høj risiko for de berørte personer. Hvis det er tilfældet, skal de berørte personer underrettes.
Situationer, hvor vi ikke skal underrette
Selvom vi oplever et databrud, som vi vurderer har en høj risiko for de berørte personer, er der situationer, hvor der ikke er krav om, at vi underretter de berørte personer alligevel. Det er vigtigt at huske, at vi til enhver tid skal kunne bevise, at vi kan bruge en af undtagelserne, og vi skal derfor altid skrive i dokumentationsskemaet i bilag 2, hvis vi vælger ikke at underrette, selvom et databrud har en høj risiko.
Vi kan undlade at underrette de berørte personer, hvis:
- vi har gennemført passende tekniske og organisatoriske foranstaltninger, der bliver brugt på de personoplysninger, der er berørt af databruddet, eksempelvis, hvis personoplysningerne er gjort ulæselige eller uforståelige for uvedkommende gennem kryptering. Det er tilfældet med eksemplet ovenfor, hvor en kollega får stjålet sin taske med en USB-nøgle med en række personaleoplysningerne på.
I den situation er det usandsynligt, at tyven får adgang til oplysningerne på grund af krypteringen, og databruddet udgør derfor ikke en risiko for medarbejderne.
- vi efter at have opdaget databruddet har iværksat foranstaltninger, der gør, at den høje risiko for de berørte personer ikke længere er reel. Det kan eksempelvis være tilfældet, hvor en revisors IT-system skal opdateres, og der ved en fejl pludselig er offentlig adgang til følsomme personoplysninger fra internettet uden login eller anden autorisation. Revisoren opdager selv databruddet og skynder sig at afskære adgangen for uautoriserede brugere, så personoplysningerne ikke længere er offentlige. Revisoren undersøger også straks omstændighederne ved databruddet og kan med sikkerhed slå fast, i hvilket tidsrum de følsomme oplysninger har været tilgængelige for andre, og gennem logs dokumentere, at kun autoriserede brugere faktisk har tilgået de følsomme personoplysninger, mens de var offentligt tilgængelige.
I den situation er databruddet afhjulpet uden, at der var nogen konsekvenser for de berørte personer, og det er derfor ikke nødvendigt at underrette dem om databruddet.
- underretningen kræver en uforholdsmæssig stor indsats. Når den undtagelse skal vurderes, skal vi på den ene side kigge på betydningen af underretningen for de registrerede personer, og på den anden side den arbejdsindsats, der kræves, for at vi kan foretage underretningen. Om underretningen er uforholdsmæssig vanskelig eller ligefrem umulig, skal vurderes i hvert enkelt tilfælde. Hvis eksempelvis en salgsvirksomheds kundedatabase er blevet kapret af hackere, der vil have penge for at give den tilbage, kan salgsvirksomhedens vurdering være, at det enten er umuligt eller vil kræve en uforholdsmæssig stor indsats at underrette alle kunderne om databruddet, fordi salgsvirksomheden ikke længere har adgang til kundeoplysningerne.
I den situation kan salgsvirksomheden undlade at foretage individuelle underretninger, men salgsvirksomheden skal i stedet udarbejde en offentlig meddelelse om databruddet eller på tilsvarende vis underrette de berørte personer på en effektiv måde.
- politiet konkret instruerer os i at vente med at underrette de berørte personer, fordi en sådan underretning kan vanskeliggøre politiets efterforskning. Det er kun politiet, der kan bestemme, at denne undtagelse skal bruges, og der er kun tale om, at underretningspligten suspenderes.
Hvis vi vurderer, at en af undtagelserne til underretningspligten kan bruges, er det vigtigt at huske, at vi til enhver tid står til ansvar overfor Datatilsynet, der kan have en anden vurdering end os. Det er derfor også vigtigt, at vi noterer i dokumentationsskemaet i bilag 2, hvis vi bruger en af undtagelserne og hvorfor.
Hvornår skal der underrettes
Hvis vi oplever et databrud, der kræver underretning, og vi ikke kan bruge en af undtagelserne, skal underretningen ske snarest muligt. Underretningen afhænger ikke af tidspunktet for, hvornår databruddet skal anmeldes til Datatilsynet, og det betyder, at underretning af de berørte personer ofte kan ske før udløbet af de 72 timer.
Det er vigtigt at huske på, at formålet med at underrette de berørte personer er, at de berørte personer kan tage de nødvendige forholdsregler og fx skifte sine adgangskoder. Det betyder samtidig også, at der kan være et behov for omgående at underrette de berørte personer, så de hurtigst muligt kan begrænse konsekvenserne, eksempelvis i tilfældet med adgangskoderne, eller hvis der er blevet offentliggjort beskyttede adresser på de berørte personer, der fx risikerer fysisk vold fra en anden person.
Hvem underretter
Lars Valentin er vores databrudsansvarlige og har ansvaret for, at de berørte personer bliver underrettet om databruddet.
Hvilke oplysninger skal meddeles
Når vi underretter om et databrud, er det vigtigt, at vi giver så mange oplysninger som muligt, for at de berørte personer kan tage sine forholdsregler for at beskytte sig selv. Det betyder, at vi som minimum skal give de berørte personer besked om:
– navn og kontaktoplysninger på vores databrudsansvarlige,
– at der er sket et databrud, og hvad det indebærer,
– de sandsynlige direkte og indirekte konsekvenser af databruddet, og
– de foranstaltninger, som vi har iværksat eller vil iværksætte for at håndtere databruddet og for at begrænse skaderne
Hvis vi kan, og hvis det er relevant, skal vi også give de berørte personer specifikke råd om, hvordan de kan beskytte sig mod eventuelle konsekvenser af databruddet, som fx ændring af adgangskoder.
Det er vigtigt, at vi underretter de berørte personer i et klart, tydeligt og forståeligt sprog, og vi skal i den forbindelse tage hensyn til de berørte personers modersmål, sprogkundskab, alder mv., hvis vi kender til det.
Hvordan vi underretter
I det enkelte tilfælde skal vi altid tage stilling til, hvordan det er bedst at underrette om et databrud. Det er vigtigt, at vi altid underretter direkte i fx en e-mail, et brev, en SMS eller lignende, og at vi ikke underretter om et databrud sammen med anden information som fx i nyhedsbreve eller i standardmeddelelser.
En underretning om et databrud skal altid ske i en separat meddelelse, og vi bør altid bruge den metode til underretningen, der giver den største chance for, at underretningen kommer frem til alle de berørte personer, uanset om det betyder, at vi skal bruge flere forskellige kommunikationsformer.