Dette skal du gøre hvis du sender en e-mail forkert eller mister din PC

Hvad er et databrud?

En af de ting, der er vigtigst at sørge for efter GDPR er, at persondata kun skal være synligt for de personer, som har et reelt og legitimt behov for at tilgå oplysningerne.

Hvis persondata i en kortere eller længere periode er tilgængelige for uvedkommende personer, så er der sket et databrud. I GDPR kaldes dette for et ”brud på persondatasikkerheden”.

Eksempler på databrud hos psykologer

For psykologer kan databrud fx være følgende:

• Der sendes en mail med helbredsoplysninger, CPR-nummer eller blot mindre følsomme oplysninger (som fx navn og e-mail) til en forkert modtager.

• En PC indeholdende en lang række personoplysninger mistes i toget på vej hjem fra arbejde.

• En tyv begår indbrud og stjæler dokumenter med personoplysninger fra klinikken.

• Personer stjæler dokumenter fra skraldespande uden for klinikken.

• Sårbarheder i ens software eller systemer gør hackere i stand til at tilgå og stjæle oplysninger digitalt.

Hvorfor er det vigtigt at reagere på databrud?

Det er først og fremmest vigtigt at reagere fordi personoplysninger kan udnyttes af ondsindede personer til at påføre skader på de personer, oplysningerne vedrører.

Et læk af oplysninger kan fx føre til diskrimination, identitetstyveri, svindel, økonomiske tab, skade på omdømme osv. Derudover kan oplysningerne være dybt personlige og der kan være en naturlig interesse hos de forurettede i, at oplysningerne hemmeligholdes.

For særligt kriminelle er helbredsoplysninger værdifulde fordi de kan bruges til at indberette falske forsikringskrav eller at få adgang til receptpligtig medicin, og af den grund handles helbredsoplysninger også på det sorte marked for ret dyre priser (ca. til 250-1.000 dollars pr. helbredsfortegnelse).

Folk skal være i stand til hurtigst muligt at beskytte sig mod konsekvenserne af et læk. Derfor stiller loven også krav om, at hvis et databrud indebærer et vist niveau af risici, så skal bruddet rapporteres til Datatilsynet. Og hvis der er en høj risiko forbundet med bruddet, så skal de personer som bruddet vedrører have direkte besked hurtigst muligt.

Det første du skal gøre, er at vurdere bruddets risiko/alvor

Hvis du sender en e-mail forkert eller på anden vis oplever, at personoplysninger er blevet lækket til uvedkommende personer, er din opgave først at vurdere hvor risikabelt bruddet er for de personer, oplysningerne vedrører.

Med andre ord: Hvor meget skade kan der potentielt blive påført hvis den/de uvedkommende personer beslutter sig for at udnytte oplysningerne? Hvor alvorligt er bruddet?

Dette kan være en svær vurdering og vi anbefaler derfor altid, at du bruger databrud-alarmen i Privanize-løsningen hvis du skulle opleve et databrud. Vores specialist vil herefter sørge for at du bliver guidet behørigt igennem processen inden for lovens tidskrav.

Vi oplister dog her, for god ordens skyld, de ting du bør lægge vægt på i din risikovurdering og beskriver desuden rapporteringsprocessen.

Dette kan du lægge vægt på når du skal vurdere risikoen

Når du skal vurdere bruddets alvor, kan følgende omstændigheder trække op eller ned i risikovurderingen:

Hvor lang tid har bruddet varet?

Risikoen for at oplysninger misbruges er alt andet lige større desto længere et brud har varet. Hvis data har været lækket i flere måneder før man bliver opmærksom på det, vil det trække meget op i risikovurderingen. Hvis det har været lækket i et par timer, vil det som udgangspunkt trække ned, men relativt korte brud kan også involvere en høj risiko hvis fx ondsindede hackere har haft adgang i blot et par timer.

Hvilke oplysninger er involveret?

Datatilsynet beskriver i deres vejledning om brud på persondatasikkerheden, at: Offentliggørelse af, at en person har begået strafbare forhold, har opbygget en stor gæld eller lider af en bestemt sygdom vil som udgangspunkt betragtes som at have vidtrækkende konsekvenser. Med andre ord vil sådanne oplysninger trække meget op i en risikovurdering (risikoen er altså forøget væsentligt).

Omvendt vil oplysninger om fx en e-mailadresse eller et CV nok ikke have vidtrækkende konsekvenser.

Det samme gælder umiddelbart en adresse, men hvis en person fx bor på et sted for folk med misbrugsbehandling eller hvis vedkommende har adressebeskyttelse, så vil det klart trække op i risikovurderingen.

Hvor mange oplysninger er omfattet af bruddet?

Man er mest interesseret i at finde ud af hvor alvorligt bruddet kan være for den enkelte person og derfor er det heller ikke centralt hvor mange personer bruddet omfatter.

Man bør dog være opmærksom på hvor mange oplysninger om hver enkelt person, der er omfattet af bruddet. Et højt antal oplysninger kan lettere udnyttes og vil derfor trække op i alvorsgraden.

Imidlertid kan selv en lille mængde fx følsomme personoplysninger føre til stor skade.

Hvilke personer er berørt?

Hvis der er tale om såkaldt ”sårbare personer” vil det trække op i risikovurderingen.

Dette kan fx være børn eller ældre.

Tilfælde hvor Datatilsynet skal underrettes

Hvis du efter at have lavet din risikovurdering, vurderer at der er en vis sandsynlighed for at lækket af oplysninger kan føre til skade, har du en forpligtelse til at underrette Datatilsynet om bruddet.

Dette gør du via deres hjemmeside.

Så hvis du fx har sendt en email med helbredsoplysninger til en forkert e-mail og du efterfølgende har kontaktet vedkommende og bedt ham/hun slette e-mailen uden at læse den, men vedkommende ikke har svaret, så er der en sandsynlig risiko for at oplysningerne vil blive udnyttet. Du skal i så fald gå ind på Datatilsynets hjemmeside og underrette bruddet via deres spørgeskema.

Gå ind på datatilsynet.dk og klik på ”sikkerhedsbrud” og klik herefter på ”anmeld sikkerhedsbrud”.

Hvis du imidlertid har sendt en email forkert som blot indeholder fx et navn på en bestemt person og nogle administrative detaljer, og beskeden er sendt til en person du stoler på som hurtigt har bekræftet at mailen er slettet, så er der IKKE en sandsynlig risiko og du bør derfor ikke anmelde.

Du skal anmelde bruddet hurtigst muligt og senest 72 timer efter at du er blevet bekendt med bruddet.

Tilfælde hvor du skal underrette den/de personer, som er omfattet af bruddet

Hvis din risikovurdering viser, at der formentlig er en høj risiko forbundet med bruddet, så skal du både orientere Datatilsynet OG den/de personer som bruddet vedrører.

Dette skal gøres for at sikre, at vedkommende kan træffe passende foranstaltninger for at beskytte sig selv.

I eksemplet ovenfor hvor der er sendt en email forkert med helbredsoplysninger og hvor modtageren ikke svarer på forespørgsler om at slette, vil der være en høj risiko. Du skal derfor række ud til den person, oplysningerne vedrører og oplyse om følgende:

• Hvad der er sket;

• Hvad du/I har gjort for at reducere alvoren af bruddet;

• Hvad de sandsynlige konsekvenser af bruddet kan være;

• Hvad du foreslår at vedkommende gør for at beskytte sig;

• Kontaktoplysninger hos dig/jer hvor vedkommende kan række ud.

Du skal altid registrere brud internt

Uanset om et brud er ”middel risiko” (dvs. Datatilsynet skal orienteres) eller ”høj risiko” (dvs. både Datatilsynet og relevante personer skal orienteres) eller blot ”lav risiko” (dvs. ingen af de nævnte skal orienteres), så skal du altid registrere internt at der er sket et brud.

Denne interne registrering kan du fx foretage i Privanize. Udover detaljer om hvad der er sket, skal du registrere: 1) hvornår bruddet er sket, 2) hvornår bruddet blev opdaget, 3) hvilke personer der er omfattet, 4) hvor mange personer, der er omfattet, 5) hvilke oplysninger og hvor mange oplysninger der er omfattet, 6) hvilke foranstaltninger, der er truffet for at imødekomme bruddet, 7) om Datatilsynet er blevet orienteret og 8) om relevante personer er blevet orienteret.

Datatilsynet kan bede om udlevering af denne oversigt, så det er vigtigt at den er på plads og altid er opdateret.