26. SEPTEMBER 2023
GDPR: Sikkerhedsbrud
Et menighedsråd har ansvar for at overholde reglerne om persondatabeskyttelse – det kaldes også GDPR-regler. Vi hjælper vores medlemmer med at gøre GDPR-reglerne mulige at håndtere.
Hvad er et sikkerhedsbrud, og hvad skal I gøre? Illustration: Colourbox
Af: ARBEJDSGIVER OG RÅDGIVNING, RED. ANJA CHRISTENSEN
Værd at vide om GDPR for menighedsråd – Nyhed 13
Indhold denne gang:
- Hvad er et sikkerhedsbrud?
- Skal der ske anmeldelse til Datatilsynet?
- Skal den registrerede underrettes?
Hvad er et sikkerhedsbrud?
Et sikkerhedsbrud defineres ved:
”Hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
Dvs. er personoplysninger blevet slettet, ændret, videregivet til en forkert modtager, eller opbevaret usikkert, så uvedkommende har haft adgang til personoplysningerne.
For at vurdere alvorligheden af databruddet, er det nødvendigt at se på konsekvenserne. Dette er også nødvendigt for at vurdere, om bruddet skal anmeldes til Datatilsynet, og om der skal underretning af den registrerede.
Først kigges på omfanget af bruddet. Hvilken type personoplysninger der er tale om (almindelige, følsomme, fortrolige), mængden af personoplysninger og den tidsmæssige udstrækning af bruddet (hvor længe har oplysningerne været tilgængelige for uvedkommende). Herudover antallet af berørte personer. Til sidst skal det vurderes, om bruddet medfører mulighed for at identificere personer.
Dernæst ses på alvorligheden af konsekvenser for de berørte personer. Jo mere følsomme eller fortrolige personoplysningerne er, jo alvorligere konsekvenser har det for personen. Det er en skærpende omstændighed, hvis det vedrører fx børn eller handicappede.
Skal der ske anmeldelse til Datatilsynet?
Der skal ske anmeldelse, når bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder. Det kan fx være ved utilsigtet deling af adresseliste til forkert modtager, læk af CPR-nummer, hemmelig adresse eller lignende.
Anmeldelse sker via virk.dk, og kan ske trinvist og kan senere suppleres. Anmeldelse skal ske uden unødig forsinkelse og senest 72 timer efter bruddet. Der tages ikke hensyn til weekend, helligdage, ferier mv.
Menighedsrådet skal dokumentere alle brud, herunder de faktiske omstændigheder, konsekvenser og trufne afhjælpende foranstaltninger.
Selvom bruddet skal anmeldes til Datatilsynet, er det ikke sikkert, at der skal ske underretning af den registrerede.
Skal den registrerede underrettes?
Underretning skal ske, hvis bruddet indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Underretning skal ske til den enkelte registrerede uden unødig forsinkelse.
Det er en høj risiko, hvis det fx vedrører CPR-nummer, da det medfører risiko for identitetstyveri, eller hemmelig adresse, da det medfører risiko for at blive fundet. I tilfælde hvor den registrerede skal underrettes, skal der også ske anmeldelse til Datatilsynet.
Menighedsrådet skal altid føre en liste over brud (en logbog), uanset om der sker anmeldelse til Datatilsynet eller underretning af den registrerede. Dvs. menighedsrådet skal registrere alle sikkerhedshændelser, herunder om der er er risiko for personers rettigheder (+ anmeldelse til Datatilsynet), og om der er høj risiko for personers rettigheder (+ underretning af den registrerede).
Læs mere i vores ”Værd at vide om GDPR for menighedsråd”.