Organisation

Har din virksomhed en klar procedure for sikkerhedsbrud?

Mange virksomhedsejere har endnu ikke proceduren for håndtering af sikkerhedsbrud på plads. Det er ifølge en sikkerhedsekspert et problem, som virksomhederne bør rette op på hurtigt, fordi de ved et besøg fra Datatilsynet skal kunne dokumentere korrekt håndtering af alle sikkerhedsbrud 

I den daglige drift af en virksomhed anvendes der mange personoplysninger om kunder og medarbejdere. I løbet af en dag behandler virksomhederne ofte mange personoplysninger bl.a. til lønsedler, fakturaer, nyhedsbreve, kontrakter og andre opgaver – og dermed risikerer de, at der sker fejl, som har betydning for de personoplysninger, der behandles. Når det sker, oplever virksomheden i juridisk forstand et brud på persondatasikkerheden. Når en medarbejder eksempelvis kommer til at sende en mail, der indeholder personoplysninger, til en forkert modtager, er der tale om et sikkerhedsbrud, der i nogle tilfælde skal meldes til Datatilsynet.

Selvom reglerne om sikkerhedsbrud er en del af GDPR, der trådte i kraft tilbage i 2018, er der stadig mange virksomheder, der ikke har proceduren for sikkerhedsbrud på plads endnu. En undersøgelse, som Visma Dataløn har foretaget blandt sine kunder, viser nemlig, at 30 procent af virksomhederne endnu ikke har en plan for håndteringen af datalæk.

  • Sikkerhedsbrud kan opstå alle steder. Derfor er det vigtigt, at virksomhederne sørger for at have en drejebog for proceduren klar, når der opstår sikkerhedsbrud. Det er dog ikke nok, at virksomhedsejer eller ledergruppe kender proceduren. Medarbejderne skal også undervises i, hvordan man identificerer et sikkerhedsbrud, og hvad de i givet fald skal gøre, når de ser et. For det er ofte medarbejderne, der opdager fejlene, fordi de sidder med opgaverne og dermed personoplysningerne til daglig, siger Sille Sloth, Data Protection Manager og Legal Consultant hos Visma Dataløn, der er Danmarks største leverandør af lønløsninger.

Førstehjælp ved sikkerhedsbrud

Når en virksomhed oplever et sikkerhedsbrud, skal den straks vurdere, om bruddet er så alvorligt, at det skal anmeldes til Datatilsynet, eller om virksomheden kan nøjes med at dokumentere håndteringen af det i hændelsesloggen. Og her er det vigtigt at have tidsfristen for øje.

  • Hvis et brud skal anmeldes til Datatilsynet, skal det ske inden for 72 timer. Det er ikke lang tid, når man skal identificere og vurdere bruddet, særligt hvis bruddet sker i weekenden eller lignende, hvor relevante medarbejdere måske er svære at få fat på. Derfor er det ekstremt vigtigt, at alle medarbejdere ved præcis, hvad de skal gøre, når sikkerhedsbruddet sker. Man kan sammenligne det med førstehjælp. Så snart en medarbejder opdager sikkerhedsbruddet, skal redningsproceduren gå i gang, for potentielt sidder der personer i den anden ende, hvis oplysninger kan blive misbrugt, fortæller Sille Sloth.

Hvornår et sikkerhedsbrud er så alvorlig, at det skal meldes til Datatilsynet, findes der ifølge Sille Sloth ikke et helt klart svar på. Det kommer an på situationen, og hvilke data, der er omfattet af sikkerhedsbruddet. Man skal vurdere, om bruddet medfører en risiko for de personer, hvis data er påvirket.

Sikkerhedsbrud er uundgåelige

Er anmeldelsen til Datatilsynet ikke nødvendig, er det alligevel vigtigt, at man følger proceduren og dokumenterer alt om bruddet i sin virksomheds hændelseslog. Datatilsynet kan nemlig bede om at se hændelsesloggen, når de kommer på besøg i virksomheden.

  • Hændelsesloggen er vigtig, fordi det er den, der viser Datatilsynet, at man har taget hånd om de brud, der har været. Nogle virksomheder er bange for, at hændelsesloggen kan være med til at inkriminere virksomheden, fordi den afslører, at der har været brud. Men her er det vigtigt at få på plads, at et brud på persondatasikkerheden ikke i sig selv er et brud på loven. Det kan det dog være, hvis man ikke håndterer bruddet ordentligt. Datatilsynet forventer, at der sker sikkerhedsbrud og vil spørge ind til det, hvis ikke man har dokumenteret hændelserne. Sikkerhedsbrud er svære at undgå, og det, Datatilsynet kigger efter, er, at virksomheden har taget hånd om de brud, der har været, slutter Sille Sloth.

Skulle det værste ske, er der hjælp at hente hos Visma Dataløn. De har udarbejdet en gratis førstehjælps-guide, til alt man skal huske, hvis uheldet skulle være ude. Guiden kan findes her: dataløn.dk/førstehjælp

Kontakt

Lage Bøhren

Visma

+47 921 57 801