Sidens indhold

Svar

Brud på datasikkerheden forekommer, når de oplysninger, jeres virksomhed/organisation har ansvaret for, er omfattet af en sikkerhedshændelse, som medfører brud på fortrolighed, tilgængelighed eller integritet. Hvis det sker, og det er sandsynligt, at bruddet udgør en risiko for den enkeltes rettigheder og frihedsrettigheder, skal jeres virksomhed/organisation informere den tilsynsførende myndighed uden unødig forsinkelse og senest 72 timer efter, at I er blevet opmærksomme på bruddet på datasikkerheden. Hvis jeres virksomhed/organisation er databehandler, skal I informere den dataansvarlige om alle brud på datasikkerheden.

Hvis bruddet på datasikkerheden udgør en høj risiko for de berørte enkeltpersoner, skal de også informeres (medmindre der iværksættes effektive tekniske og organisatoriske beskyttelsesforanstaltninger eller andre foranstaltninger, som sikrer, at risikoen sandsynligvis ikke længere vil forekomme).

Som organisation er det afgørende at iværksætte passende tekniske og organisatoriske foranstaltninger for at undgå mulige brud på datasikkerheden.

Eksempler

Organisationen skal informere databeskyttelsesmyndigheden og enkeltpersonerne
Oplysninger om en tekstilvirksomheds ansatte er blevet videregivet. Oplysningerne omfattede de enkelte ansattes hjemmeadresser, fanukuesammensætning, månedlige indkomst og sygeforsikring. I dette tilfælde skal tekstilvirksomheden informere den tilsynsførende myndighed om bruddet på datasikkerheden. Da personoplysningerne omfatter følsomme oplysninger såsom helbredsoplysninger, skal virksomheden også informere de ansatte.

En hospitalsmedarbejder beslutter at kopiere patientoplysninger til en CD og offentliggøre dem på internettet. Hospitalet finder ud af det efter et par dage. Så snart hospitalet finder ud af det, har det 72 timer til at informere den tilsynsførende myndighed, og da personoplysningerne indeholder følsomme oplysninger, som f.eks. om en patient har kræft, er gravid osv., skal det også informere patienterne. I dette tilfælde ville der være tvivl om, hvorvidt hospitalet har iværksat passende tekniske og organisatoriske beskyttelsesforanstaltninger. — Hvis det havde iværksat passende beskyttelsesforanstaltninger (f.eks. kryptering af data), havde risikoen været teoretisk, og hospitalet havde ikke skullet informere patienterne.

Virksomheden skal informere kunderne, og kunderne skal derefter muligvis informere databeskyttelsesmyndigheden og enkeltpersonerne
En cloud-tjenesteydelse mister flere harddiske med personoplysninger tilhørende flere kunder. Virksomheden skal informere kunderne, så snart den bliver opmærksom på bruddet. Kunderne skal informere databeskyttelsesmyndigheden og enkeltpersonerne, afhængigt af hvilke oplysninger der blev behandlet af databehandleren.

Referencer