GDPR-brud skyldes én bestemt fejl

Faglig nyhedFølgende anmeldelser om brud på persondatasikkerhed modtager Datatilsynet flest af – hvornår har du som dataansvarlig pligt til at anmelde et brud?

Om revisor

Datatilsynet laver kvartalsvis en oversigt over antallet af anmeldelser af brud på persondatasikkerheden, samt karakteren af disse brud. Vi vil her gennemgå, hvornår du som dataansvarlig har pligt til at anmelde brud, og hvordan dette foregår.

I tredje kvartal 2019 har Datatilsynet modtaget 1.718 anmeldelser af brud på persondatasikkerhed. Sammenlignet med tallene fra andet kvartal 2019 tegner der sig et billede af, at antallet af indberetninger nu er stabiliseret, siden den nye databeskyttelsesforordning trådte i kraft i maj 2018.



Langt de fleste anmeldelser – 2 af 3 – vedrører hændelser, hvor oplysninger om en, eller ganske få registrerede, er sendt til den forkerte modtager i afsendelsesøjeblikket, dvs. menneskelige fejl. Disse fejl er svære at gardere sig imod, da det ofte er en konsekvens af uopmærksomhed og dermed ikke et systembrud. Andre former for brud såsom phishing, malware, hacking eller lignende er stadig til stede, men dog i mindre grad.

Anmeldelserne fordeler sig med 42 % fra private dataansvarlige og 58 % fra offentlige dataansvarlige.

Du kan læse hele rapporten fra Datatilsynet her

Hvornår har du pligt til at anmelde et brud på persondatasikkerheden?
Datatilsynet har ligeledes konstateret et antal tilfælde, hvor der ikke er foretaget en korrekt og fyldestgørende vurdering af, hvornår den dataansvarlige er pligtig til at anmelde et brud.

Hvis man som dataansvarlig opdager et brud, har man pligt til at underrette Datatilsynet om bruddet uden unødig forsinkelse og hvis muligt inden for 72 timer.

Hvis du skal indberette et brud, foregår det på Virk.dk, som er den digitale portal for virksomheder og myndigheder.

Den dataansvarlige har efter den nye databeskyttelsesforordning pligt til at anmelde alle brud på persondatasikkerheden, medmindre det er usandsynligt, at hændelsen indebærer en risiko for fysiske personers rettigheder. Et brud kan f.eks. bestå i, at en person får oplysninger i hænde, som vedkommende ikke er autoriseret til, hacker-angreb, phishing-angreb. Et brud kan ligeledes bestå af mistede genstande såsom computere, telefoner eller fysiske dokumenter. Det er her ikke tilstrækkeligt at have brugernavn og kodeord på operativsystemet.

Når man anmelder et brud, skal det kunne dokumenteres, at den dataansvarlige har vurderet risikoen for den registreredes rettigheder efter databeskyttelsesforordningens artikel 34, stk. 1.

Hvis et brud på persondatasikkerheden ikke håndteres på en passende måde, kan det påføre personer fysisk skade, materiel skade eller immateriel skade mm. Datatilsynet kan ligeledes udtale kritik, udstede et påbud eller i værste tilfælde sanktionere med bøde. Dette fremgår direkte med navns nævnelse af Datatilsynets nyhedstjeneste.

Du kan læse mere om Datatilsynets vejledning om håndtering af brud på datasikkerheden på Datatilsynets hjemmeside.

Viste du, at FSR – danske revisorer har indgået et samarbejde med Lexoforms, som klæder jer medlemmer på til at blive endnu bedre sparringspartnere inden for GDPR-området. Klik på linket og find ud af, hvordan du nemt kommer i gang.