Databrud: Hvad gør du?
Et databrud kan ramme enhver virksomhed. Uanset om det skyldes et hackerangreb, en mistet laptop eller en fejlsendt e-mail med personoplysninger, kræver GDPR hurtig og korrekt handling. Denne artikel guider dig gennem processen fra det øjeblik, du opdager et brud, til de langsigtede forebyggende tiltag.
Trin 1: Begræns og dokumenter bruddet
Når et databrud opdages, er første prioritet at begrænse skaden. Isoler det berørte system, deaktiver kompromitterede konti, og stop eventuel igangværende datalæk. Dokumenter samtidig alt: hvornår bruddet blev opdaget, hvad der er sket, hvilke data og hvor mange registrerede der er berørt, og hvilke umiddelbare tiltag der er taget. Denne dokumentation er afgørende for den efterfølgende anmeldelse til Datatilsynet og for intern læring.
Trin 2: Vurder risikoen
GDPR kræver en risikovurdering af bruddet. Spørgsmålet er, om bruddet sandsynligvis vil medføre en risiko for de berørte personers rettigheder og frihedsrettigheder. Faktorer der øger risikoen omfatter: typen af data (følsomme oplysninger som helbredsdata eller CPR-numre er højere risiko); antallet af berørte personer; om data var krypteret; om data er tilgået af uautoriserede; og sandsynligheden for, at data kan misbruges til identitetstyveri, diskrimination eller anden skade.
Trin 3: Anmeld til Datatilsynet
Hvis bruddet sandsynligvis indebærer en risiko for de registreredes rettigheder, skal det anmeldes til Datatilsynet inden 72 timer fra det tidspunkt, virksomheden blev opmærksom på bruddet. Anmeldelsen sker via Datatilsynets online-formular og skal indeholde: en beskrivelse af bruddet; kategorier og omtrentligt antal berørte registrerede og dataposter; kontaktoplysninger på DPO eller anden kontaktperson; sandsynlige konsekvenser; og trufne eller planlagte foranstaltninger. Hvis du ikke har alle oplysninger inden for 72 timer, kan du foretage en foreløbig anmeldelse og supplere efterfølgende.
Trin 4: Underret de berørte
Hvis bruddet sandsynligvis vil medføre en høj risiko for de berørte personers rettigheder, skal du også underrette de berørte direkte. Underretningen skal ske i et klart og forståeligt sprog og indeholde: en beskrivelse af bruddet; kontaktoplysninger for yderligere information; de sandsynlige konsekvenser; og de foranstaltninger der er truffet for at afhjælpe bruddet og mindske risikoen. Underretningen skal ske uden unødig forsinkelse.
Trin 5: Forebyg fremtidige brud
Efter et databrud bør virksomheden gennemføre en grundig evaluering: Hvad gik galt, og hvordan kan det forhindres i fremtiden? Typiske forebyggende tiltag omfatter: opdatering af sikkerhedspolitikker og -procedurer; uddannelse af medarbejdere i datasikkerhed; implementering af tekniske forbedringer som kryptering, MFA eller bedre adgangskontrol; og etablering af en incident response plan, så virksomheden er bedre forberedt næste gang.
Hovedpointer
- Begræns skadens omfang straks og dokumenter alt fra start
- Anmeld til Datatilsynet inden 72 timer hvis der er risiko for registrerede
- Underret berørte personer direkte ved høj risiko
- Brug foreløbig anmeldelse hvis du mangler oplysninger
- Evaluer og forbedr sikkerhedsforanstaltninger efter hvert brud