GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Oplysninger om GDPR

Informationssikkerhed

Virksomhederne skal arbejde med deres informationssikkerhed for at sikre et tilstrækkeligt beskyttelsesniveau for behandlede personoplysninger. Tekniske og organisatoriske sikkerhedsforanstaltninger bør bleges for primært at forhindre, at personoplysninger lækkes eller uautoriserede ændres eller ødelægges.

Virksomheder skal arbejde med deres informationssikkerhed

En stor del af informationssikkerheden handler om, at de rigtige personer i en virksomhed har adgang til de rigtige oplysninger og på det rigtige tidspunkt, så virksomheden kan opfylde sine forpligtelser i henhold til GDPR. Hvis virksomheden f.eks. skal anmelde bruddet på persondatasikkerheden til den nationale databeskyttelsesmyndighed, bør den gøre det inden for 72 timer efter opdagelsen. Hvis en registreret anmoder om adgang til sine personoplysninger i overensstemmelse med GDPR, er det vigtigt, at medarbejdere, der skal opfylde denne ret, i praksis ved, hvordan de skal forholde sig.

Hændelser vedrørende personoplysninger, og hvordan de håndteres

Hvis en uautoriseret person får adgang til personoplysninger, som virksomheden behandler, er det et brud på persondatasikkerheden. For eksempel, hvis en person hacker sig ind i et computersystem og får adgang til personoplysninger. Derudover er det et spørgsmål om uautoriseret adgang, hvis en medarbejder i virksomheden, der ikke bør have adgang til personoplysninger, modtager dem i alle tilfælde. Brud på persondatasikkerheden kan have alvorlige konsekvenser for registrerede, f.eks. svig, identitetstyveri eller ondsindede rygter.

What breaches of the GDPR can lead to an administrative fine?

To andre EU-forordninger

  • AI-forordningen
  • Databeskyttelsesforordningen

Det er også et brud på persondatasikkerheden, hvis persondata ulovligt slettes eller ændres. For eksempel, hvis en computer, der behandler personoplysninger, er berørt af en virus, og alle personoplysninger derfor går tabt. Derfor er det godt at implementere tekniske sikkerhedsforanstaltninger, såsom lagring af backupfiler på en cloud-tjeneste og installation af antivirussystemer. 

Risikovurdering af et brud på persondatasikkerheden

Når der sker et brud på persondatasikkerheden, foretager virksomheden en risikovurdering. Formålet er, at virksomheden skal vurdere den risiko, som bruddet på persondatasikkerheden kan udgøre for de berørte registrerede. Derefter kan virksomheden beslutte, om de skal informere dem om det brud på persondatasikkerheden, der fandt sted. Personoplysningernes følsomhed er en vigtig faktor ved vurderingen af hændelsens alvor. Jo vigtigere personoplysningerne er, jo alvorligere er de.

Dokumentation for individuelle brud på persondatasikkerheden

Alle virksomheder skal skriftligt dokumentere eventuelle brud på persondatasikkerheden. Dette gælder, uanset om virksomheden skal underrette tilsynsmyndigheden og/eller de registrerede om hændelsen eller ej. Bemærk, at den nationale databeskyttelsesmyndighed kan anmode om adgang til dokumentationen for bruddet på persondatasikkerheden i tilfælde af tilsyn. Dokumentationen skal bl.a. indeholde oplysninger om, hvad der er sket, og hvilke foranstaltninger virksomheden har truffet efterfølgende.

Grænseoverskridende behandling af personoplysninger

I nogle tilfælde kan et brud på persondatasikkerheden være relateret til flere lande i EU. I sådanne tilfælde er der tale om et grænseoverskridende brud på persondatasikkerheden. Det er vigtigt for virksomheder, der behandler personoplysninger i flere lande i Unionen, at vide, hvem der er virksomhedens ledende tilsynsmyndighed. I tilfælde af et grænseoverskridende brud på persondatasikkerheden, der skal anmeldes, underretter selskabet den ledende tilsynsmyndighed.

Forebyggende foranstaltninger

Virksomhederne skal forhindre brud på persondatasikkerheden ved at træffe passende foranstaltninger. Virksomhederne skal desuden vide, hvordan de skal forholde sig, hvis der sker et brud på persondatasikkerheden. For eksempel kan virksomheden skabe interne procedurer for medarbejderne at vide, hvad de skal gøre. Det er vigtigt at handle så hurtigt som muligt i tilfælde af mistanke om eller opdagelse af et brud på persondatasikkerheden, da konsekvenserne kan blive værre med tiden.

Tip: Virksomheder kan downloade en vejledning fra Det Europæiske Databeskyttelsesråd om, hvordan virksomheder kan håndtere brud på persondatasikkerheden.

Underrette de registrerede om et brud på persondatasikkerheden

I visse tilfælde skal virksomheden i tilfælde af brud på persondatasikkerheden underrette de berørte registrerede. Dette skal ske, hvis bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for de registreredes rettigheder og frihedsrettigheder. Desuden kan virksomheden i nogle tilfælde være nødt til at anmelde bruddet på persondatasikkerheden til den nationale databeskyttelsesmyndighed. Der skal foretages en anmeldelse til den nationale databeskyttelsesmyndighed senest 72 timer efter opdagelsen. Den registeransvarlige er ansvarlig for at foretage anmeldelsen.

En virksomhed i Polen skulle betale en bøde for bl.a. manglende overholdelse af sin forpligtelse til at anmelde bruddet på persondatasikkerheden til tilsynsmyndigheden i tide.

Organisatoriske sikkerhedsforanstaltninger til beskyttelse af behandlede personoplysninger

Virksomhederne skal bl.a. træffe passende organisatoriske foranstaltninger for at beskytte de personoplysninger, de behandler. Dette afspejles i et af de grundlæggende principper i databeskyttelsesforordningens artikel 5, stk. 1, litra f), nemlig princippet om privatlivets fred og fortrolighed. Med andre ord skal virksomheder træffe passende sikkerhedsforanstaltninger, når de behandler personoplysninger.

Kompetencestyring som en sikkerhedsforanstaltning

For at sikre, at ikke flere personer end nødvendigt får adgang til personoplysninger, er det godt at gennemføre en god forvaltning af tilladelser. Med andre ord at afgøre, hvem der kan få adgang til hvilke personoplysninger. I loven og GDPR er begreberne kompetence og autoritet vigtige begreber at forstå.

Kompetence

Det handler om, hvilken adgang en person har til personoplysninger.

Magt

Det handler om, hvad en person har lov til at gøre med personoplysningerne, og hvornår og hvordan behandlingen kan finde sted.

Instruktioner og interne procedurer for medarbejdere

For at minimere risikoen for, at medarbejdere overtræder reglerne i GDPR, og for at gøre deres arbejde lettere, er det nyttigt at udarbejde skriftlige instrukser. F.eks. skriftlige procedurer for, hvordan medarbejdere skal forholde sig, når der sker et brud på persondatasikkerheden. Skriftlige instrukser og interne procedurer er også en god måde at vise, at virksomheden overholder GDPR og princippet om ansvarlighed.

Uddannelse i databeskyttelse for arbejdstagere

Det er godt at tilbyde uddannelse til personale, der arbejder med databeskyttelsesspørgsmål. Især hvis virksomheden har en databeskyttelsesrådgiver. Virksomheden bør f.eks. tilbyde yderligere uddannelse til sin databeskyttelsesansvarlige inden for rammerne af GDPR, når der opstår nye praksisser. Derudover er det godt at tilbyde en form for grundlæggende uddannelse inden for GDPR til andre medarbejdere, der behandler personoplysninger som ledere, kundeservicemedarbejdere og sælgere.

Opbygning af en god og stærk sikkerhedskultur

Det er godt at opbygge en god sikkerhedskultur i virksomheden, der gennemsyrer hele virksomheden, herunder behandling af personoplysninger. Det handler med andre ord om at skabe fælles værdier, tilbyde viden og skabe en motiverende holdning til databeskyttelsesarbejde. For eksempel er det godt at skabe rutiner og instruktioner om, hvordan medarbejdere skal handle og indberette formodede brud på persondatasikkerheden.  

Tekniske sikkerhedsforanstaltninger til beskyttelse af personoplysninger

Ud over de organisatoriske sikkerhedsforanstaltninger, som virksomheden skal træffe, skal der også træffes tekniske sikkerhedsforanstaltninger for at beskytte personoplysningerne. De foranstaltninger, som virksomhederne skal træffe, afhænger bl.a. af typen af behandling og betydningen af personoplysningerne. Nedenfor kan du læse om nogle eksempler på fælles tekniske sikkerhedsforanstaltninger.

Autentificering før login

Det kan være nødvendigt for enkeltpersoner at bekræfte deres identitet, før de får adgang til personoplysninger, også kendt som autentificering. For eksempel, når de logger ind i et system, der behandler personoplysninger, såsom virksomhedens finansielle system eller CRM-system. Afhængigt af situationen kan virksomheden være nødt til at gennemføre en mere sikker autentificeringsproces. F.eks. ved at kræve yderligere identitetskontrol i forbindelse med login, f.eks. fingeraftryk eller en kode.

Hvis en person logger ind i en bank for at overføre penge, er det ikke sikkert nok bare at logge ind med et brugernavn og adgangskode. Det kan dog være nok, hvis personen skal logge ind på virksomhedens sociale medier.

Kryptering af oplysninger

Kryptering er en fælles teknisk sikkerhedsforanstaltning for virksomheder med det formål at beskytte personoplysninger. Især når det drejer sig om yderligere data, der er beskyttelsesværdige, såsom følsomme personoplysninger, der er reguleret i artikel 9 i GDPR. Kort sagt betyder kryptering, at data kun kan læses ved at give en nøjagtig hemmelig krypteringsnøgle. Dette reducerer risikoen for uautoriseret adgang til oplysningerne.

I nogle tilfælde kan kryptering af personoplysninger være nødvendig både ved overførsel og opbevaring. For eksempel, hvis en arbejdsgiver ønsker at sende en lønseddel via e-mail til en medarbejder, der indeholder oplysninger om sygefravær, som er følsomme personoplysninger. I sådanne tilfælde skal lønsedlen sendes via krypteret e-mail.

Sikkerhedskopiering af data

Mange mennesker er uvidende om, at personoplysninger, der er ulovligt ændret eller slettet, udgør en form for brud på persondatasikkerheden. For eksempel, hvis en computer, der gemmer personoplysninger, får en virus, og personoplysningerne går tabt. Derfor er det godt at have en backup af dine personoplysninger,f.eks. på en cloud-tjeneste. Bemærk, at det er vigtigt at beskytte sikkerhedskopierne, ligesom originalen.

Netværkssegmentering

Ved at opdele et datanetværk i flere undernetværk (netværkssegmentering)  kan virksomheden forhindre uautoriseret adgang og videregivelse af personoplysninger. Med andre ord betyder netværkssegmentering at forhindre kommunikation mellem f.eks. to systemer, der ikke behøver at kommunikere med hinanden.

Hvis en uautoriseret person kommer ind i et undernetværk, vil vedkommende således ikke have adgang til alle de oplysninger, der ville have været der, hvis virksomheden ikke havde opdelt datanetværket i flere undernetværk.

Flere oplysninger om GDPR

Overførsel af personoplysninger til et tredjeland

Hvis en virksomhed overfører personoplysninger til et land uden for EU/EØS, er det en overførsel til et tredjeland. Det er tilladt, men reglerne er strengere. Et eksempel på en overførsel til et tredjeland er, hvis en virksomhed i Tyskland sender et dokument med personoplysninger til en virksomhed i USA. Det er vigtigt at kende reglerne for overførsler fra tredjelande for ikke at overtræde GDPR.  

Vil du lære mere?

Læs mere
Scroll to Top