Personlige hændelser
Dokumentation i tilfælde af brud på persondatasikkerheden
Virksomheder skal udarbejde visse dokumenter i tilfælde af brud på persondatasikkerheden. Desuden skal virksomhederne i nogle tilfælde underrette den nationale databeskyttelsesmyndighed om begivenheden. Registrerede bør også underrettes af virksomheden, i nogle tilfælde.
Vis, at virksomheden overholder GDPR
Det er vigtigt at huske på, at virksomheder skal kunne dokumentere, at de overholder GDPR. Hvis der er et tilsyn fra virksomheden, og databeskyttelsesmyndigheden anmoder om at se dokumentationen for et brud på persondatasikkerheden, overtræder virksomheden GDPR, hvis virksomheden ikke har den nødvendige dokumentation.
Etablere dokumentation i tilfælde af brud på persondatasikkerheden i overensstemmelse med GDPR
Det er ligegyldigt, om virksomheden konkluderer, at den skal underrette de registrerede eller anmelde bruddet på persondatasikkerheden til den nationale databeskyttelsesmyndighed, når det drejer sig om kravet om at dokumentere bruddet. Alle virksomheder skal dokumentere alle brud på persondatasikkerheden, uanset om bruddet er underlagt GDPR-underretning eller ej. Det er godt at have dokumentationen digitalt for at undgå forsømmelse, da det er imod GDPR ikke at have dokumentationen.
Foregribelse af mulige brud på persondatasikkerheden
For at kunne handle så hurtigt som muligt i tilfælde af et brud på persondatasikkerheden skal virksomheden allerede have forudsagt forskellige situationer, hvor brud på persondatasikkerheden kan forekomme. Dette gør det lettere at forberede, hvordan man skal handle i tilfælde af en sådan hændelse. Det er positivt, hvis virksomheden forbereder sig på forskellige typer brud på persondatasikkerheden og cyberangreb ved at udarbejde handlingsplaner og forretningskontinuitetsplaner.
Det skal bl.a. fremgå af dokumentationen:
Begivenheden
Oplysninger om, hvad der er sket, og hvordan det er sket. Detaljerne i begivenheden skal noteres så detaljeret som muligt.
Tidspunkter
Det tidspunkt, hvor bruddet på persondatasikkerheden fandt sted, og hvor den dataansvarlige blev opmærksom på det Det kan være, at hændelsen fandt sted for fem dage siden, men det er først i dag, at virksomheden blev opmærksom på det. Derefter skal virksomheden notere disse to gange i dokumentationen.
Aktioner
De foranstaltninger, som virksomheden har truffet for at minimere risiciene ved og konsekvenserne af bruddet på persondatasikkerheden.
Anmeldelse af et brud på persondatasikkerheden til en databeskyttelsesmyndighed skal ske senest 72 timer efter, at virksomheden har opdaget bruddet på persondatasikkerheden. Hvis det er en strafbar handling, såsom it-kapring, skal virksomheden også kontakte politiet for at anmelde forbrydelsen til politiet.
Virksomheden skal udarbejde og gennemføre skriftlige interne procedurer
Det er godt for virksomheder at have skriftlige interne procedurer for, hvordan medarbejdere skal agere i tilfælde af brud på persondatasikkerheden. Dette skyldes, at det er vigtigt at handle så hurtigt som muligt, da det kan få værre konsekvenser som tiden går. Desuden skal virksomheden sikre, at den overholder de tidsrammer, der er fastsat i GDPR, i tilfælde af et brud på persondatasikkerheden, der skal anmeldes. Skriftlige interne procedurer for medarbejderne kan gøre processen mere effektiv og mindske risikoen for, at medarbejderne gør noget forkert i processen.
Mere info om personlige hændelser
Forebyggelse af brud på persondatasikkerheden
I GDPR er det meget klart, at virksomheder bør forhindre brud på persondatasikkerheden ved at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte persondata. Dette afspejles i et af de syv (7) grundlæggende databeskyttelsesprincipper, nemlig princippet om privatlivets fred og fortrolighed. Virksomheder kan f.eks. kryptere personoplysninger og bruge en cloudtjeneste, hvor de sikkerhedskopierer personoplysninger. Jo vigtigere personoplysningerne er, jo højere er sikkerhedskravene.