Både i det offentlige og private kan man opleve brud på persondatasikkerheden, men det kan være svært at gennemskue, hvordan man skal håndtere sådanne brud. Her gennemgår vi hvad brud på persondatasikkerheden indebærer, hvilke typer af brud på persondatasikkerheden du kan komme ud for, hvad du og den dataansvarlige skal gøre, og hvad Datatilsynet gør ved en anmeldelse.
Hvad er et brud på persondatasikkerheden?
For at kunne være sikker på, at du skal anmelde brud på din persondatasikkerhed, skal du også vide, hvad der definerer et brud på persondatasikkerheden. Et brud på sikkerheden, består i, at der bliver udgivet, opbevaret eller håndteret persondata, som du ikke har givet samtykke til.
Det er personfølsomme data, du altså ikke har til hensigt at dele offentligt, og som kun virksomheden eller myndigheden skal sidde inde med. Hvis virksomheden f.eks. opbevarer informationen i længere tid end aftalt, eller hvis de videregiver information til en tredjepart, er det altså et brud på GDPR og din persondatasikkerhed.
GDPR bliver gældende fra det øjeblik, at dine oplysninger bliver gemt hos en virksomhed. Det kan både være informationer du oplyser, hvis du køber et produkt fra dem, hvis du betaler en invoice eller noget helt tredje.
Typer af brud på persondatasikkerhed
Som nævnt, er en type brud på persondatasikkerhed, der allerede er blevet nævnt, opbevaring af persondata uden dit samtykke, overskridelse af perioden personoplysningerne bliver gemt, samt deling af dem. Derudover er der bl.a. følgende typer af brud på persondatasikkerhed:
- Personer, der ikke er autoriseret til at have din information, får adgang til din persondata. De kan enten selv tilgå den (f.eks. ved hacking) eller den dataansvarlige deler det uden din accept.
- Der bliver ændret i din data, eller personoplysningerne bliver slettet ved et uheld.
- Der er et brud på den dataansvarliges server, hvor personoplysninger bliver lækket. Dette er f.eks. CPR-registre, kreditkortoplysninger mm.
- Den dataansvarlige videregiver - bevidst eller ubevidst - personoplysninger til en tredjepart. Dette kan være en kunde, som får indsigt i en anden kundes sager.
- Hvis den dataansvarliges arkiver og filer mangler kryptering af persondata - dette kan resultere i, at flere uvedkommende får adgang til personinformationer.
Man skal som udgangspunkt anmelde alle disse former for brud på persondatasikkerheden, hvis du skulle være udsat for dem.
Ifølge Datatilsynets statistik over anmeldte sikkerhedsbrud fordelt på det offentlige og private, er størstedelen af anmeldelser sket på baggrund af, at de rigtige oplysninger er sendt til den forkerte modtager. Det er derfor vigtigt at tjekke modtageren en ekstra gang, inden man sender og deler personfølsomme data.
Dernæst er den hyppigste grund for anmeldelse (udover Datatilsynets kategori “Andet”), offentliggørelse af dokumenter og persondata. Der er færre forekomster af anmeldelser af, at de forkerte oplysninger bliver sendt til den rigtige modtager, breves bortkommelse og usikker transmission.
Nogle af de tilfælde, der er blevet anmeldt mindst, og dermed også har færrest forekomster, er hacking, tab/tyveri af enheder, social engineering, brute force/credential stuffing og ransomware. Det er altså ikke ofte at hacking bliver anmeldt, dog skal man stadig være opmærksom på eventuelle lækkede oplysninger i forbindelse med et hacking-episode.
For at sætte det i perspektiv, så blev der anmeldt 8863 tilfælde af at de rigtige oplysninger endte hos den forkerte modtager, 426 anmeldelser om hacking og 93 ransomware angreb. Alle data er opsamlet på en periode mellem 2020 og 2022.
Mine oplysninger er blevet lækket, hvad gør jeg?
Hvis du finder ud af, at dine oplysninger er blevet lækket, som indebærer et brud på persondatasikkerheden, skal du først og fremmest kontakte den dataansvarlige i den virksomhed, der har lækket dine personoplysninger eller overtrådt GDPR-reglerne. Ved at starte med at kontakte dem, kan du se om skaden kan begrænses, eller om de selv kan trække persondataen tilbage, for at undgå at skulle anmelde episoden til Datatilsynet.
Hvis du ikke finder virksomhedens håndtering tilstrækkelig, kan du altså klage til Datatilsynet og anmelde episoden til dem. Den dataansvarlige i din virksomhed er typisk forpligtet til at anmelde bruddet på persondatasikkerheden inden for 72 timer. Hvis det allerede er blevet anmeldt, vil Datatilsynet altså ikke foretage yderligere, da den allerede er i deres system og bliver behandlet.
Hvad gør Datatilsynet med de anmeldte brud på persondatasikkerhed?
Hvis ikke det er blevet anmeldt, skal man kontakte Datatilsynet. De modtager mellem 600-800 anmeldelser om måneden, hvilket betyder at Datatilsynet foretager en screening af sager og anmeldelser, for at undersøge vigtigheden af anmeldelserne. De vurderer hændelsernes karakter og omfang, hvilke personoplysninger der er tale om, og hvordan den dataansvarlige har håndteret bruddet på persondatasikkerheden.
Typisk er det ikke nødvendigt for Datatilsynet at foretage sig yderligere ved en anmeldelse af mindre grad. De vil henlægge et brev til den dataansvarlige med anbefaling om at underrette de involverede, hvis den ansvarlige ikke allerede har gjort dette. Derudover vil Datatilsynet komme med anbefalinger til håndtering af den specifikke situation, som den offentlige eller private virksomhed eller myndighed er ude for.
Hvis ikke man har oplyst alle nødvendige oplysninger vil Datatilsynet stille supplerende spørgsmål og vurdere om yderligere handling er nødvendig. Hvis graden af bruddet er stort nok, vil Datatilsynet i ekstreme tilfælde anmelde det til politiet.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler
