Beredskabsplan (ved databrud)

DKK449,00

For mange virksomheder giver det mening at have en beredskabsplan klar, som virksomheden kan følge, hvis uheldet er ude og virksomheden laver et databrud.

Virksomheden får med vores dokument nogle klare retningslinjer, som kan følges i en stresset og uvant situation, hvor virksomheden tilmed kæmper for at undgå store bøder. Underretning til Datatilsynet skal ske inden 72 timer.

Følgende (hverdags)situationer kan være eksempler på databrud:

  • En medarbejders mobiltelefon stjæles eller bortkommer, hvor der ligger persondata på telefonen enten lokalt eller via opkoblingen til virksomhedens server
  • Data slettes eller ændres ved en fejl
  • En mail med persondata sendes til en forkert modtager

Det betyder ikke noget, om dataene rent faktisk er brugt til noget af andre. Bare det, at der har været en risiko for, at nogen kunne få adgang til dataene, eller at data er gået tab/ændret betyder, at der teknisk har været et databrud.

Klik på billederne og forstørrelsesglasset for at se eksempler fra skabelonen.

LÆS YDERLIGERE BESKRIVELSE NEDENFOR

Varenummer (SKU): 006 Kategori:

Beskrivelse

Dokumentet er på i alt 12 sider med tema-inddelte retningslinjer for de forskellige typer af databrud, der sædvanligvis forekommer i virksomheder. Dokumentet indeholder masser af forslag og muligheder, som gør det nemt at tilrette til virksomhedens konkrete forhold.

Det kan f.eks. være, hvis virksomheden er kommet til at lække data eller slette data ved en fejl (som blandt meget andet også er ”databrud”). Hvordan forholder man sig, hvornår skal man orientere Datatilsynet og skal man også kontakte den berørte person?

Inkl. tro- og love-erklæring.

Dokumentet indeholder som bilag en fortrolighedserklæring, der kan anvendes, hvis virksomheden ved en fejl videregiver persondata til andre, som den er ansvarlig for. F.eks. ved at sende mail forkert.

Virksomheden kan da indhente en tro- og loverklæring fra modtageren om, at persondataene ikke er udnyttet, videregivet eller på anden måde krænket.

Det er ikke et direkte lovkrav, at virksomheden har en beredskabsplan. Det afgørende er, at virksomheden overholder bl.a. Persondataforordningens Artikel 33 og 34.

Artikel 33

Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

  1.  Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.
  2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.
  3. Den i stk. 1 omhandlede anmeldelse skal mindst:
    a) beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
    b) angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
    c) beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
    d) beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
  5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Artikel 34

Underretning om brud på persondatasikkerheden til den registrerede

  1. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
  2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).
  3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:
    a) den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
    b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
    c) det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.
  4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.