Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Transkript

1 Retningslinje for håndtering af brud på persondatasikkerheden i Region Midtjylland Regionssekretariatet april 2018 Retningslinje: Sådan håndterer du brud på persondatasikkerheden Bilag A Følgende blanket skal anvendes ved henvendelser om brud på persondatasikkerheden. Blanketten skal sendes til Regionssekretariatet regionssekretariatet.sikkerhedsbrud@rm.dk uden unødig forsinkelse og senest 48 timer efter kendskab til bruddet. Regionssekretariatet vil herefter i samarbejde med It varetage den videre sagsbehandling, og anmelde bruddet til Datatilsynet. Brud på persondatasikkerheden hos Region Midtjylland 1. Dato og tidspunkt for bruddet? 2. Hvad er der sket? 3. Årsagen til bruddet? 4. Hvilken type personoplysninger er berørt? 5. Hvilke konsekvenser har bruddet for de berørte personer? 6. Hvad er der gjort for at begrænse det konkrete brud på persondatasikkerheden? 7. Hvad er det gjort for at undgå lignende fremtidige brud på persondatasikkerheden? 8. Er der sket underretning af de berørte personer? (hvis ja, hvornår) 9. Hvad er de sandsynlige konsekvenser af bruddet for de berørte? Beskrivelse af bruddet Eventuelle spørgsmål kan rettes til regionssekretariatet.sikkerhedsbrud@rm.dk.

2 Retningslinje for håndtering af brud på persondatasikkerheden i Region Midtjylland, Regionssekretariatet april 2018 Retningslinje Sådan håndterer du brud på persondatasikkerheden Denne retningslinje har til formål at præsentere databeskyttelsesforordningens regler om brud på persondatasikkerheden, og at fastsætte de overordnede rammer for Region Midtjyllands håndtering af disse. Målgruppen for retningslinjen er al personale ansat i Region Midtjylland, der behandler personoplysninger i deres arbejdsopgaver. Retningslinjen skal straks følges, uanset på hvilken måde man som ansat bliver bekendt med, at der er sket et brud på persondatasikkerheden. Hvorfor skal vi følge denne instruks? Den 25. maj 2018 træder databeskyttelseslovgivningen i kraft i Danmark og resten af EU. Som noget nyt har regionen pligt til at anmelde brud på persondatasikkerheden til Datatilsynet. Denne anmeldelse skal ske uden unødig forsinkelse og senest 72 timer efter, at regionen er blevet bekendt med bruddet. Derudover har man fortsat en pligt til at orientere de borgere, der er berørte af bruddet. Hvis disse to forpligtelser ikke overholdes, har Datatilsynet forskellige beføjelser. Datatilsynet kan eksempelvis udtale kritik eller udstede et påbud. Derudover har Datatilsynet også mulighed for at udstede en bøde enten i kombination med eller i stedet for de sanktionsbeføjelser, som datatilsynet i øvrigt har. Hvad er et brud på persondatasikkerheden? Første skridt på vejen til at kunne håndtere brud på persondatasikkerheden er at være i stand til at kunne identificere, hvad et brud på persondatasikkerheden er. Et brud på persondatasikkerheden er defineret i databeskyttelsesforordningen 1 på følgende måde: Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 1 Databeskyttelsesforordningens artikel 4, nr. 12.

3 Et eksempel på et brud på persondatasikkerheden kan være, hvis: En medarbejder kommer til at sende personoplysninger i en , der ikke er krypteret, eller en sendes til forkert modtager. Der sker en tilsigtet eller utilsigtet offentligførelse af personoplysninger på intranettet eller internettet. En medarbejder ændrer eller sletter personoplysninger ved et uheld eller bevist. Der sker sikkerhedsbrud på regionens server, hvor uvedkommende har fået indsigt i personoplysninger f.eks. helbredsoplysninger, CPR-nr. eller lignende. En medarbejder videregiver ubevidst eller bevidst personoplysninger om en borger til en anden borger eller måske ligefrem flere andre uvedkommende personer. Hvad er de mulige konsekvenser af et brud på persondatasikkerheden? Et brud på persondatasikkerheden kan have konsekvenser for den eller de berørte personer. Hvis et brud ikke håndteres korrekt, kan det få konsekvenser for de berørte personer, for eksempel ved tab af kontrol over personoplysninger eller begrænsning af rettigheder, forskelsbehandling, identitetstyveri, finansielle tab, uautoriseret ophævelse af pseudonymisering, skade på omdømme, tab af fortrolighed for oplysninger, der er omfattet af tavshedspligt, eller andre betydelige økonomiske eller sociale konsekvenser for den berørte fysiske person. Se mere på intranettet: 1. Hvem har ansvar for bruddet? Hvis det ikke er dig selv eller din afdeling, der har brudt persondatasikkerheden, skal du bede din nærmeste leder kontakte den ansvarliges leder. Den ansvarlige for sikkerhedsbruddet skal med sin ledelse undersøge, om der eventuelt er andre medansvarlige for sikkerhedsbruddet eksempelvis eksterne parter. Hvis Region Midtjylland er ansvarlig for bruddet, så følges resten af denne retningslinje. Hvis ikke, skal du eller din leder henvende sig til Regionssekretariatet regionssekretariatet.sikkerhedsbrud@rm.dk, så den ansvarlige part samt Datatilsynet kan blive underrettet korrekt. 2. Begræns skaden: fjern data og kontakt relevante koncernstabe Regionen skal sørge for, at der rettes op på bruddet hurtigst muligt, eksempelvis ved at fjerne eventuelt offentliggjorte personoplysninger fra intranet/internet. Region Midtjyllands Webteam webteam@stab.rm.dk og It er behjælpelige ved dette. Hvis der er sket offentliggørelse af personoplysninger på internettet, kan Webteam blandt andet hjælpe med at fjerne data fra søgemaskiner (Google mv.). Dog skal du selv efter 4-6 uger undersøge, om alle oplysningerne med sikkerhed er fjernet fra internettet. Hvis der er tale om mistanke/kendskab til misbrug af adgang til Region Midtjyllands systemer, skal der straks rettes henvendelse til Regionssekretariatet regionssekretariatet.sikkerhedsbrud@rm.dk, der herefter varetager den videre sagsbehandling. Side 2

4 3. Ved utilsigtet offentliggørelse på regionens åbne postliste Hvis der er tale om utilsigtet offentliggørelse på postlisten på Region Midtjyllands hjemmeside, skal den ansvarlige kontakte Journalen i Digital Forvaltning i Regionssekretariatet, digitalforvaltning@rm.dk. Journalen opretter en sag i ESDH med den ansvarlige som sagsbehandler og sender en erindring. Journalen eller den ansvarlige skal tage et screen dump af oplysningerne fra postlisten, som journaliseres på sagen. Umiddelbart herefter bliver oplysningerne fjernet fra postlisten af Journalen. Det er stadig den ansvarlige for publicering af oplysningerne, der har ansvaret for at sikre, at oplysningerne er fjernet. Hvis det er Journalen, der først opdager offentliggørelsen, orienteres Regionssekretariatet med cc til regionssekretariatet.sikkerhedsbrud@rm.dk. Den ansvarlige følger herefter denne retningslinje. 4. Underret berørte personer Hvis de berørte personer (eksempelvis borgere/patienter/medarbejdere) ikke allerede ved, at deres oplysninger har været offentliggjort eller været omfattet af et brud på persondatasikkerheden, skal den ansvarlige ledelse sørge for, at disse personer underrettes. Ledelsen skal foretage en konkret vurdering af, om der skal ske underretning i de tilfælde, hvor berørte personer er flyttet til udlandet eller afgået ved døden. I sidstnævnte tilfælde vil underretningen eventuel skulle ske til nærmeste pårørende. Underretningen skal gives uden unødig forsinkelse i et klart og tydeligt sprog og skal ske via en sikker forbindelse. Denne kan ikke sendes sammen med anden information, såsom generelle opdateringer, nyhedsbreve, indkaldelsesbreve eller standardmeddelelser fra regionen. Underretningen skal indeholde følgende: 1. Dato og tidspunkt for bruddet? 2. Hvad er der sket? 3. Årsagen til bruddet? 4. Hvilken type personoplysninger er berørt? 5. Hvilke konsekvenser har bruddet for de berørte personer? 6. Hvad har man gjort for at begrænse konsekvenserne af bruddet? 7. Hvad er de sandsynlige konsekvenser af bruddet for de berørte personer? 8. Navn og kontaktoplysninger på ansvarlig medarbejder i den konkrete afdeling? 9. Region Midtjyllands databeskyttelsesrådgiver kan kontaktes via dpo@rm.dk. 5. Kommunikér og ret op internt i afdelingen Den ansvarlige ledelse skal gennemgå interne procedurer for håndtering af personoplysninger. Ledelsen skal sikre, at medarbejderne har fået eller får den fornødne instruktion i at håndtere personoplysninger. Dette er vigtigt for at forebygge lignende sikkerhedsbrud. Side 3

5 6. Udfyld vedlagte blanket Som bilag A vedlægges en blanket, som skal anvendes ved henvendelser om brud på persondatasikkerheden. Blanketten skal sendes til Regionssekretariatet regionssekretariatet.sikkerhedsbrud@rm.dk uden unødig forsinkelse og senest 48 timer efter kendskab til bruddet. Regionssekretariatet vil herefter i samarbejde med IT varetage den videre sagsbehandling, herunder iværksætte eventuel underretning af berørte personer og anmeldelse til Datatilsynet. 7. Spørgsmål Eventuelle spørgsmål kan rettes til regionssekretariatet.sikkehedsbrud@rm.dk. Retningslinjen tager udgangspunkt i databeskyttelsesforordningen. Ønskes en nærmere gennemgang af reglerne, henvises der bl.a. til selve lovteksten i databeskyttelsesforordningens kapitel IV, afdeling 2 (Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) samt afsnittene og i betænkning nr. 1565/2017 om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning. Side 4