GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 5, stk. 1, litra d), i GDPR

Definition af brud på persondatasikkerheden

Definitionen af et brud på persondatasikkerheden er fastsat i databeskyttelsesforordningens artikel 4, nr. 12). Et brud på persondatasikkerheden er en type sikkerhedshændelse, der fører til ulovlig eller utilsigtet tilintetgørelse, ændring eller tab af personoplysninger. Alternativt fører sikkerhedshændelsen til uautoriseret adgang til eller videregivelse af personoplysninger, der er lagret, overført eller på anden måde behandlet. 

Virksomheder skal forhindre brud på persondatasikkerheden

Virksomhederne skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne. Virksomhederne bør med andre ord træffe forskellige foranstaltninger for at forsøge at forhindre brud på persondatasikkerheden. Her er nogle tips til, hvordan man undgår brud på persondatasikkerheden og minimerer risiciene efter et brud på persondatasikkerheden: 

  • Kontroller altid, at modtageren af en SMS, et brev eller en e-mail er korrekt, før du sender beskeden, der indeholder personoplysninger. 
  • Regelmæssigt kontrollere brugernes tilladelser til de systemer, der anvendes i virksomheden og behandling af personoplysninger. Fjerne adgangsrettigheder for brugere, når de ikke længere har brug for adgang. 
  • Brug multifaktorgodkendelse (MFA), når du logger ind på systemer, der indeholder personoplysninger, når det er muligt. 
  • Brug forskellige og komplekse adgangskoder til applikationer/systemer, arbejdscomputere, mobiltelefoner osv. 
  • Installer virusbeskyttelse på enheder, der behandler personoplysninger, f.eks. arbejdscomputere. 
  • Sørg for, at enheder, der indeholder personoplysninger, holdes ajour med den nyeste version af softwaren.
What breaches of the GDPR can lead to an administrative fine?

Mulige konsekvenser for registrerede i tilfælde af brud på persondatasikkerheden

Brud på persondatasikkerheden har alvorlige konsekvenser for de registrerede. F.eks.: 

  • Svig eller anden økonomisk skade. 
  •  
  • Skadelig spredning af rygter.

Eksempler på brud på persondatasikkerheden

Der er mange forskellige typer hændelser, der kan betragtes som brud på persondatasikkerheden. Her er nogle eksempler på almindelige brud på persondatasikkerheden:

Measures that companies need to take to comply with GDPR

Brud på datasikkerheden

Hvis der er et brud på datasikkerheden, hvor en uautoriseret person får adgang til personoplysninger. Brud på datasikkerheden kan forekomme internt på en arbejdsplads eller eksternt af eksterne personer.

Subjektivt integritetskänsliga personuppgifter

Forkerte e-mails

Når en person i en virksomhed sender en e-mail med personoplysninger til den forkerte modtager, er det et brud på persondatasikkerheden.

What is the definition of anonymised data?

Virusangreb

Hvis der er et virusangreb, der fører til sletning af personoplysninger. Derfor er det godt at have backup-filer, for at være i stand til at gendanne data, der er gået tabt eller ødelagt ved et uheld, hvis det er nødvendigt.

Tyveri af arbejdscomputer eller mobiltelefon

Hvis en arbejdscomputer eller mobiltelefon indeholder personoplysninger og bliver stjålet, er det et brud på persondatasikkerheden. Dette skyldes, at du i sådanne situationer har mistet kontrollen over de personlige data, der eksisterede på den stjålne enhed.

Dokumentation af brud på persondatasikkerheden

Virksomhederne skal dokumentere alle brud på persondatasikkerheden, der har fundet sted. Dette gælder, uanset om virksomheden skal underrette de registrerede eller/og underrette den nationale databeskyttelsesmyndighed om hændelsen. Derfor er det vigtigt, at virksomheden har interne procedurer, logbøger og anden nødvendig dokumentation for at kunne føre en skriftlig fortegnelse over brud på persondatasikkerheden.  

Underrette de registrerede og/eller anmelde et brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed

Hvis der sker et brud på persondatasikkerheden, underretter den dataansvarlige i visse tilfælde de berørte registrerede om bruddet. For eksempel, hvis kreditkortoplysninger er blevet lækket, hvilket kan føre til meget negative konsekvenser for de registrerede. Ved at underrette de registrerede om et brud på persondatasikkerheden, der involverer deres personoplysninger, kan de træffe foranstaltninger for at forsøge at minimere risiciene. Desuden skal virksomheder, der er dataansvarlige, også underrette den nationale databeskyttelsesmyndighed om brud på persondatasikkerheden, der har fundet sted i visse tilfælde.

Straf til virksomheder, der har indberettet et brud på persondatasikkerheden for sent

Der er visse typer brud på persondatasikkerheden, som virksomheder skal anmelde til den nationale databeskyttelsesmyndighed. Ifølge GDPR skal indberetningspligtige hændelser indberettes inden for 72 timer fra det tidspunkt, hvor den dataansvarlige blev opmærksom på bruddet på persondatasikkerheden.

Andre love kan dog have en kortere frist. F.eks. blev en virksomhed i Polen idømt en bøde for ikke at have indberettet et brud på persondatasikkerheden inden for 24 timer efter opdagelsen i overensstemmelse med telekommunikationslovgivningen. 

Personlige hændelser

Grænseoverskridende brud på persondatasikkerheden

Det er ikke ualmindeligt, at virksomheder sælger tjenester eller produkter til andre lande inden for EU/EØS-området. Desuden opererer mange virksomheder i flere EU-lande. Det er således almindeligt at behandle personoplysninger, der tilhører enkeltpersoner i forskellige lande. I nogle tilfælde kan et brud på persondatasikkerheden derfor vedrøre flere lande, og i sådanne tilfælde er der tale om et grænseoverskridende brud på persondatasikkerheden. I sådanne tilfælde er det vigtigt for virksomhederne at vide, hvilken databeskyttelsesmyndighed der er den ledende tilsynsmyndighed. 

Vil du lære mere?

Læs mere
Scroll to Top