Sikkerhedshændelser og -brud
Her kan du læse lidt om, hvad et sikkerhedsbrud er, hvorfor man skal indberette det og hvordan man skal forholde sig.
SIKKERHEDSHÆNDELSE/SIKKERHEDSBRUD
Et sikkerhedsbrud er "et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet". Det vil sige, der er en ret bred definition af et sikkerhedsbrud.
Det kan være alt fra:
- At man glemmer et stykke papir i en printer
- Sende en mail til forkert modtager og
- Hacker-angreb, hvor hackere fx får adgang til et (eller flere) system(er) med personoplysninger
Det meste almindelige brud, er når man laver en fejl og videregiver persondata ved. Det er, når man sender en mail eller digital post med personoplysninger forkert. Uanset om mailen bliver sendt til en forkert intern eller ekstern modtager er der tale om et hændelse. Alle hændelser skal indberettes.
Hvis hændelsen indebærer en risiko for den berørte person, skal bruddet anmeldes til Datatilsynet, og i nogle tilfælde skal den/de berørte person(er) også underrettes om bruddet på deres persondata.
Når du har konstateret et sikkerhedsbrud skal du:
- Stoppe bruddet
- Skabe et overblik
- Indberette hændelsen
1) Stop bruddet
At stoppe bruddet kan være mange forskellige ting. Har du f.eks. sendt en mail til en forkert intern modtager, kan du forsøge at tilbagekalde mailen (tilbagekaldelse virker kun internt, altså til andre aabenraa.dk mailadresser). Har du sendt en mail til en forkert ekstern modtager, skal du kontakte modtageren og bede vedkommende om at slette mailen (det kan være svært at påvise at sletning er foretaget, så her er vi nødt til at stole på modtager). Har du fået lagt noget på Medarbejderportalen eller aabenraa.dk med personoplysninger, skal du hurtigst muligt slette det igen.
Har du behov for hjælp til at stoppe bruddet, tag fat i IT-Afdelingen, din leder eller din forvaltnings systemkoordinator.
2. Skab et overblik over bruddet.
Du skal finde ud af hvor mange personer, det bruddet påvirker. Har du f.eks. sendt en mail med en vedhæftet fil fyldt med CPR-numre, så er det antallet af personer i den fil. Modtageren er IKKE en registreret, ligesom du som afsender heller ikke tælles med.
Du skal finde ud af, hvilke typer af personoplysninger bruddet omfatter. Der er forskel på, om bruddet handler om almindelige persondata (fx navn, adresse, kontaktoplysninger), fortrolige personoplysninger (fx CPR-nummer, økonomiske oplysninger) eller følsomme personoplysninger (fx helbredsoplysninger, etnicitet, politiske eller religiøs overbevisning). Du skal huske på, at kontekst er vigtig. En adresse er fx en almindelige personoplysning, indtil det omhandler adressen på en person, der har beskyttet adresse.
Du skal også finde ud af om det er lykkes at stoppe bruddet. Hvis ikke det er lykkes at stoppe bruddet skal du så vidt muligt finde ud af, hvordan det bliver stoppet. Derudover skal du overveje, hvor store konsekvenser bruddet kan have - for den person, bruddet påvirker. Når du overvejer mulige konsekvenser, så forsøg at overveje det værst tænkelige scenarie, hvis de her persondata bliver misbrugt.
3. Indberet hændelsen.
Alle hændelser skal indberettes, også at indberetning sker hurtigst muligt. Er du i tvivl om, hvorvidt der er tale om et brud, eller ej, er det bedre at lave en indberetning for meget, end en for lidt. . Fra en hændelse bliver konstateret, må der gå 72 timer før hændelsen bliver anmeldt til Datatilsynet. Derfor er det vigtigt, at indberetningen af hændelsen sker umiddelbart efter, at bruddet er blevet konstateret.
Hvis du har svært ved vurdere bruddets omfang, konsekvens, eller lignende, så vedhæft materialet (fx et forkert sendt brev, et skærmbillede eller lignende) som bilag til indberetningsblanketten. Undgå at skrive personoplysninger, som fx CPR-numre på de berørte personer, i selve blanketten
Har du spørgsmål til, kan du altid ringe til ansvarlig medarbejder på 2337 9156 eller skrive til infosik@aabenraa.dk.
Johannes Emil Hannibal
IT-Digitalisering
Telefon: 2337 9156
E-mail: infosik@aabenraa.dk