Sikkerhedshændelser og -brud
Her kan du læse lidt om, hvad et sikkerhedsbrud er, hvorfor man skal indberette det og hvordan man skal forholde sig.
Hvis du først er kommet herind, så ved du sikkert allerede hvad et sikkerhedsbrud er. Skulle det ske ikke at være tilfældet, så er du heldig, for du kan blive meget klogere på det lige herunder.
Men ved du også hvad du skal gøre, hvis du er skyld i eller opdager et sikkerhedsbrud?
Det er vigtigt at du er klar over, at denne side kun omhandler sikkerhedsbrud ift. GDPR. Det vil sige brud, der indeholder personoplysninger. Et sikkerhedsbrud i IT-mæssig forstand dækker over alle brud og ikke kun dem, der indeholder personoplysninger.
SIKKERHEDSHÆNDELSE/SIKKERHEDSBRUD
Nogle steder skelner man mellem en sikkerhedshændelse og et sikkerhedsbrud, hvor man kan kategorisere en sikkerhedshændelse som et nærved-sikkerhedsbrud. I Aabenraa Kommune koncentrerer vi os kun om sikkerhedsbrud.
Et sikkerhedsbrud - i GDPR-mæssig forstand, skal siges - er "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet". Det vil sige, der er en ret bred definition af et sikkerhedsbrud.
Det kan være alt fra at glemme et stykke papir i printeren, til at sende en mail forkert og over i decideret hacker-angreb, hvor hackere tiltvinger sig adgang til et (eller flere) system(er) med personoplysninger - og alt der i mellem.
Der er dagligt folk der sender mails forkert og en del af dem indeholder personoplysninger. Uanset om mailen bliver sendt til en forkert intern eller ekstern modtager er der tale om et sikkerhedsbrud og alle sikkerhedsbrud skal indberettes internt. Der er derimod ikke alle der skal indberettes til Datatilsynet.
Når du har konstateret et brud skal du,
- Stop bruddet
- Skab overblik
- Indberet
1. At stoppe bruddet kan være mange forskellige ting. Har du f.eks. sendt en mail til en forkert intern modtager, kan du forsøge at tilbagekalde mailen (tilbagekaldelse virker kun internt, altså til andre aabenraa.dk mailadresser). Har du sendt en mail til en forkert ekstern modtager, skal du kontakte modtageren og bede vedkommende om at slette mailen (det kan være svært at påvise at sletning er foretaget, så her er vi nødt til at stole på modtager). Har du fået lagt noget på Medarbejderportalen eller aabenraa.dk med personoplysninger, skal du hurtigst muligt slette det igen - kontakt evt. webteamet i IT for hjælp. Det gælder altså om at sørge for at fjerne personoplysningerne fra de steder, hvor de ikke hører til.
2. Skab et overblik over bruddet. Det vil sige find ud af, hvor mange registrerede det drejer sig om (en registreret er den person, hvis oplysninger er blevet gjort tilgængelige for uvedkommende). Har du f.eks. sendt en mail med en vedhæftet fil fyldt med CPR-numre, så er det antallet af personer i den fil. Modtageren er IKKE en registreret, ligesom du som afsender heller ikke tælles med. Hvilke typer af personoplysninger der er omfattet bruddet er også vigtigt. Der er f.eks. forskel på et brud, der kun omhandler et navn og et brud der indeholder CPR-nummer. Du skal også finde ud af om det er lykkes at stoppe bruddet (det kan være svært at vide med sikkerhed, hvis du f.eks. har fået lagt noget på aabenraa.dk og Google allerede har indekseret siden). Hvis ikke det er lykkes at stoppe bruddet skal du så vidt muligt finde ud af, hvordan det bliver stoppet. Derudover skal du vurdere, hvor store konsekvenser bruddet kan have - for den registrerede. Hvis du f.eks. har sendt et dokument med CPR-nummer og oversigt over tidligere domme til en nabo til den registrerede, kan det have voldsomme konsekvenser for den registreredes omdømme i nærområdet.
3. Indberet! Det er super vigtigt at alle hændelser indberettes. Og de skal indberettes hurtigst muligt. Fra en hændelse opdages må der maks gå 72 timer før det bliver indberettet til Datatilsynet. For at give databeskyttelsesrådgiveren tid til at skabe sig et komplet overblik og lave en vurdering af om bruddet skal indberettes til Datatilsynet, er det vigtigt at et brud indberettes hurtigst muligt i vores interne hændelseslog. Når du indberetter skal du foruden de ting nævnt i punkt 2 også have viden om datoer og tidspunkter for bruddets start, bruddets konstatering og bruddets afslutning (hvis det er stoppet).
Hvis du konstaterer et sikkerhedsbrud og du er i tvivl om, hvor omfattende det er (hvor store konsekvenser det kan få for den registrerede) kan du altid ringe til kommunens databeskyttelsesrådgiver på 72 27 30 02, skrive til dpo.aabenraa@bechbruun.com på mail, eller kontakte databeskyttelsesrådgiver via sikker beskedfunktion på https://dpo.bechbruun.com/aabenraa/
Vi opfordrer til, at du bruger den sikre beskedfunktion, hvis din henvendelse indeholder følsomme eller fortrolige oplysninger.
HÆNDELSESLOG
En hændelseslog er registrering af alle sikkerhedsbrud i kommunen. Det er både de helt små sikkerhedsbrud og til de helt store sikkerhedsbrud, der også skal indberettes til Datatilsynet.
Det skal du dels fordi Aabenraa Kommune er forpligtet til at registrere alle sikkerhedsbrud og dels fordi Aabenraa Kommune hele tiden søger at forbedre sikkerheden. Det er derfor vigtigt, at sikkerhedsbrud bliver meldt ind hver gang. Jo flere brud der bliver meldt ind, jo bedre bliver kommunen til at håndtere og forebygge disse.
Det skal du hver gang du konstaterer et sikkerhedsbrud.