Til Borgerrepræsentationen 5. oktober Sagsnr Dokumentnr

Transkript

1 KØBENHAVNS KOMMUNE Øknmifrvaltningen Kncern IT NOTAT Til Brgerrepræsentatinen 5. ktber 2018 Svar på spørgsmål fra Jakb Næsager vedr. mfang af persndatabrud På Øknmiudvalgets møde den 25. september 2018 har Jakb Næsager bestilt en versigt ver indberetninger af databrud pr. 1. ktber 2018 fra alle frvaltninger. Et persndatabrud er nrmalt kendetegnet ved, at det fører eller kan føre til hændelig eller ulvlig tilintetgørelse, tab, ændring, uautriseret videregivelse af eller adgang til persnplysninger. Persndatabrud skal anmeldes til Datatilsynet medmindre, at det er usandsynligt, at bruddet indebærer en risik fr fysiske persners rettigheder. Sagsnr Dkumentnr Sagsbehandler Frederik Siegumfeldt I Københavns Kmmune håndteres persndatabrud sm udgangspunkt af de enkelte frvaltninger, sm gså har ansvaret fr, at bruddet først indberettes til Kncern IT g eventuelt efterfølgende anmeldes til Datatilsynet. Kncern IT kan i den anledning plyse, at der i Københavns Kmmunes interne system (ServiceNw) fr indberetninger af bl.a. ptentielle persndatabrud er fretaget følgende antal indberetninger fra frvaltningerne siden persndatafrrdningen trådte i kraft den 25. maj 2018: 2018 Maj Juni Juli Aug Sept Okt Nv Dec I alt BIF BUF KFF SOF SUF TMF ØKF Berører flere frvaltninger Samlet antal indberetninger i ServiceNw 81 Tabel 1: Anmeldelser i Københavns Kmmunes interne system fr indberetninger af bl.a. ptentielle persndatabrud Af de pågældende 81 indberetninger er der efterfølgende fretaget en vurdering af bruddets karakter. 51 er vurderet til faktisk at mhandle persndata, g heraf har 20 haft en karakter, sm har påkrævet en anmeldelse til Datatilsynet, jf. tabel nedenfr. Vejledende Sikkerhed Brups Allé København NV EAN nummer

2 Karakteren af de 81 Evt. anmeldt til Datatilsynet (status pr. 3. ktber 2018) indberetninger til Kncern IT (ServiceNw) Anmeldt til Datatilsynet 20 Persndatabrud Ikke anmeldt til Datatilsynet 31 Ikke persndatabrud Ikke anmeldt til Datatilsynet 30 Tabel 2: Anmeldelser fretaget af de enkelte frvaltninger til Datatilsynet Indberetninger under kategrien ikke-persndatabrud er typisk karakteriseret ved, at det ved vurderingen af indberetningen har vist sig, at der slet ikke har været tale m brud på infrmatinssikkerheden, eller at bruddet ikke mfattede persnplysninger. Det bemærkes endvidere, at ikke-anmeldte persndatabrud typisk er karakteriseret ved, at bruddet ikke i sig selv har givet anledning til, at plysninger rent faktisk er kmmet til uvedkmmendes kendskab, g at plysninger alene har været ptentielt tilgængelige fr et afgrænset antal medarbejdere i kmmunen. Det kan i tilknytning hertil plyses, at kmmunens medarbejdere er instrueret i ikke at tilgå plysninger, sm de ikke har et fagligt behv fr anvende. Fr så vidt angår de 20 anmeldelser af persndatabrud frdeler indberetningerne sig på de enkelte frvaltninger sm anført nedenfr: Antal BIF 3 BUF 7 KFF 2 SOF 4 SUF 0 TMF 1 ØKF 2 BIF/SOF 1 I alt 20 Tabel 3: Anmeldelser til Datatilsynet frdelt på frvaltninger Indhldsmæssigt frdeler de 20 indberetninger sig på følgende sagstyper : Antal Ukrypterede mails 3 Sager behandlet uden fuldmagt 2 Afgørelse sendt til frkerte mdtagere 7 Fejl i fagsystemer 2 Fejl i autrisatiner 1 Andet 5 I alt 20 Tabel 4: Frdeling af brud på frskellige 'sagstyper' Side 2 af 3

3 I tilknytning hertil bemærkes, at hvedparten af indberettede brud knytter sig til menneskelige fejl, men at enkelte brud kan henføres til tekniske/systemmæssige fejl. Kncern IT kan endvidere plyse, at enkelte sager har mfattet videregivelse af frtrlige plysninger, men at der ikke er frekmmet tilfælde, hvr stre mængder af persnplysninger er kmmet til uvedkmmendes kendskab uden fr kmmunen. Fr en gd rdens skyld skal Kncern IT i øvrigt bemærke, at der er betydelig frskel på mfanget af behandling af persnplysninger i de enkelte frvaltninger, g at et større antal indberetninger fr en frvaltning ikke nødvendigvis er udtryk fr frvaltningens generelle evne til at håndtere persnplysninger tværtimd kan det være et udtryk fr, at der i den pågældende frvaltning er en særlig pmærksmhed i frhld til, at uregelmæssigheder kan være persndatabrud g derfr skal indberettes. Fælles uddannelsesindsats i alle frvaltninger Øknmiudvalget er tidligere blevet rienteret m, at der i regi af det nu afsluttede frvaltningsfælles GDPR-prgram blev igangsat et e- læringsfrløb fr alle medarbejdere. Frmålet med e-læringsfrløbet har været at styrke g skabe et fælles niveau fr beskyttelsen af persnplysninger i hele kmmunen. Uddannelsen indehlder handlingsrienteret infrmatin til medarbejderne m kravene i den nye databeskyttelsesfrrdning, herunder definitinen af persndata, den registreredes rettigheder mv. Fællesadministrativ frretningsgang fr persndatabrud Kncern IT kan plyse, at der er vedtaget en Fællesadministrativ frretningsgang fr persndatabrud. Frretningsgangen vedlægges sm bilag 1. I hvedtræk fastsætter frretningsgangen, - At frvaltningernes DPO Business Partners skal mdtage g vurdere ptentielle persndatabrud g prette disse i ServiceNw, standse bruddet i det mfang, det er muligt, anmelde brud til Datatilsynet, underrette den registrerede g dkumentere sikkerhedshændelsernes frløb i ServiceNw fra start til slut. - At frvaltningerne i øvrigt skal have it-kmpetencer, juridiske kmpetencer g kmmunikative kmpetencer til rådighed i tilfælde af persndatabrud. - At Kncern IT er ansvarlig fr systemunderstøttelsen g psamlingen af sikkerhedshændelser i kmmunen g skal bistå frvaltningerne med efterfrskning g analyse efter behv. - At Databeskyttelsesrådgiveren bl.a. skal rienteres ved anmeldelse til Datatilsynet. Side 3 af 3

4 FÆLLES ADMINISTRATIV FORRETNINGSGANG Persndatabrud Ejerskab: Kncern IT, Kntret fr Vejledende sikkerhed Versin: 1.0 Gældende fra: Sidst pdateret: Anvendelse: Københavns Kmmune Jurnalnr.:

5 Indhldsfrtegnelse 1.1 Persndatabrud... 1 Omfang g afgrænsning... 1 Prcessen... 2 BILAG 1: BESLUTNINGSTRÆ - ANMELDELSE TIL DATATILSYNET OG DEN REGISTREREDE?... 8 BILAG 2: RISIKOVURDERING... 9 Bilag 3: Vejledning til arbejdet med brud på persndatasikkerheden Brud på persndatasikkerheden Operatinel spørgeguide Bilag 4: Vejledning m håndtering af brud på persndatasikkerheden Bilag 5: Vejledning til anmeldelse til tilsynsmyndigheden ved brud på persndatasikkerheden Bilag 6: Skabeln til underretning til den registrerede ved brud på persndatasikkerheden Bilag 7: Standardvejledninger til Brgeren m afhjælpning af knsekvenserne fr Sikkerhedsbruddet... 20

6 1.1 Persndatabrud Omfang g afgrænsning HOVEDPROCES DELPROCES Databeskyttelse Persndatabrud HJEMMEL: Infrmatinssikkerhedsregulativ (vedtages juni 2018) OMFANG OG AF- GRÆNSNING: PROCESINPUT: PROCESOUTPUT: Denne frretningsgang beskriver delprcessen Persndatabrud. Prcessen er afgrænset til at mfatte håndtering g anmeldelse af brud på persndatasikkerheden i alle juridiske enheder under Københavns Kmmune. En medarbejder i Københavns Kmmune får kendskab til et ptentielt persndatabrud. Persndatabruddet er håndteret, anmeldt, dkumenteret, g sagen er lukket i ServiceNw. 1

7 Prcessen Frmålet med denne fælles administrative frretningsgang er at sikre lvmedhldeligheden i Københavns Kmmune i frbindelse med persndatabrud. Prcessen er udarbejdet med afsæt i det arbejde, der er udført i Legal Cmpliance Prjektet. Prcessen skal understøtte g sikre en effektiv varetagelse af de nødvendige pgaver, der pstår i frbindelse med et sikkerhedsbrud, sm det er defineret i Databeskyttelsesfrrdningens artikel 4, stk. 1, nr. 12. Triggeren i prcessen er når en medarbejder i Københavns Kmmune får kendskab til et ptentielt persndatabrud. Det er derfr værd at præcisere det ansvar medarbejderne i Københavns Kmmune har i relatin til indeværende prces; alle medarbejdere i kmmunen har pligt til at anmelde infrmatinssikkerhedshændelser, herunder ptentielle persndatabrud. Prcestegning: Persndatabrud 2

8 Rllebeskrivelse: Persndatabrud Rlle/funktin Beskrivelse Ansvar/pgaver DPO BP DPO Business Partner (DPO BP) er frvaltningens kntaktpunkt til DPO-funktinen g skal understøtte varetagelsen af dennes pgaver - herunder rådgivning g tilsyn med frvaltningens efterlevelse af Databeskyttelsesfrrdningen. Der henvises til stillingsbeskrivelse fr DPO BP. DPO BP har ansvaret fr følgende pgaver: - Sikre frvaltningsspecifik vejledning til medarbejdernes indmeldelse af persndatabrud til DPO BP - Mdtage ptentielle persndatabrud g prette disse i Service- Nw - Straks standse bruddet i det mfang, det er muligt - Orientere gruppen - Krdinere g udveksle relevante infrmatiner med KIT - Anmeldelse af persndatabrud til Datatilsynet g eventuel underretning af den registrerede. - Dkumentere persndatabrudenes frløb i ServiceNw fra start til slut. - Der henvises til dispsitin fr beredskabsplan fr håndtering af persndatabrud i Københavns Kmmune. KIT KIT er vidensrganisatin g sparringspartner fr frvaltningerne i frbindelse med ptentielle persndatabrud. KIT har ansvaret fr følgende pgaver: - Opsamle g pbevare infrmatin m persndatabrud - Bistå frvaltningerne med efterfrskning g analyse ved behv - Orientere ØU m sikkerhedsbrud en gang årligt - Afrapprtere til DPO-funktinen Privacy Breach Task Frce/ Gruppen En pre-defineret gruppe af medarbejdere, der varetager de tekniske, juridiske g kmmunikatinsmæssige pgaver i frbindelse med persndatabrud. Gruppen består af medarbejdere i frvaltningen med relevante it-, juridiske g kmmunikatinskmpetencer. Gruppen har ansvaret fr udførslen af de it-, juridiske- g kmmunikatinsmæssige pgaver i frbindelse med beredskabet ved persndatabrud. Fr Gruppens pgaver henvises der til dispsitin fr beredskabsplan fr håndtering af persndatabrud i Københavns Kmmune. 3

9 Prcesbeskrivelse: Persndatabrud NR. AKTIVITET UDFØRER HANDLINGER I AKTIVITETEN VEJLEDNING Start KK medarbejder får kendskab til et ptentielt persndatabrud g anmelder det til DPO BP KK medarbejder KK medarbejder rienterer frvaltningens DPO BP m det ptentielle sikkerhedsbrud via telefn, mail til en speciel pstkasse eller gennem it-prtalen. Frvaltningsspecifikke vejledninger 1 Mdtag g vurdér infrmatin m ptentielt brud DPO BP DPO BP mdtager indberetningen fra medarbejderen g vurderer, hvrvidt det kan betragtes sm et sikkerhedsbrud. Bilag 3: Vejledning til arbejdet med brud på persndatasikkerheden Bilag 4: Datatilsynets vejledning m håndtering af brud på persndatasikkerheden 2 Stands bruddet DBO BP DPO BP iværksætter straks alle relevante tiltag fr at stppe sikkerhedsbruddet g minimere skaden. 3 Orienter Gruppen DPO BP Når en ntifikatin m et ptentielt sikkerhedsbrud mdtages, underrettes de øvrige medlemmer af Gruppen, g beredskabet iværksættes. Herefter tages der stilling til aktivitet 3a: Kmmer indberetningen fra KIT? - Ja: KIT har allerede prettet sag i ServiceNw til dkumentatin. - Nej: Aktivitet nr. 3b: Orienter KIT via ServiceNw. ServiceNw pretter autmatisk sag til DPO BP g KIT til dkumentatin. 4 Indsaml fakta g dan verblik Gruppen: It-kmpetence Gruppen søger hurtigst muligt at danne sig et verblik ver sikkerhedsbruddet, navnlig mstændighederne mkring: - Type af hændelse (de tekniske mstændigheder bag hændelsen) - Omfanget af skaden, herunder: Hvilke kategrier af persnplysninger er berørt Hvilke franstaltninger er allerede truffet fr at håndtere g/eller begrænse skaden (kryptering eller lignende) Cirka antal berørte - Om eksterne leverandører er invlveret. 4

10 5 Underret ledelse g DPO DPO BP Ledelsen underrettes m situatinen g rienteres løbende m udviklingen. KK s DPO underrettes m situatinen. DPO en anmdes m en tilkendegivelse af, i hvilket mfang DPO en ønsker at hldes underrettet m situatinens videre udvikling. 6 Kntakt evt. leverandører Gruppen: Juridisk kmpetence Underretning af den eller de invlverede leverandører, hvis de ikke allerede er infrmeret. Leverandørerne anmdes m udarbejdelse af en detaljeret redegørelse ver hændelsesfrløbet, baggrunden fr fejlen, knsekvenserne heraf, hvrdan fejlen er rettet g hvrdan det sikres, at det ikke kan ske igen. Leverandørens redegørelse af sikkerhedsbruddet bedes udarbejdet særligt med henblik på at plyse de infrmatinspunkter, sm ikke allerede er indsamlet under aktivitet nr. 4 Indsaml fakta g dan verblik. 7 Iværksæt evt. tekniske g rganisatriske franstaltninger Gruppen: It-kmpetence Alle relevante tiltag fr at stppe sikkerhedsbruddet g minimere skaden iværksættes straks. I tilfælde af anvendt it-system, træffes m nødvendigt beslutning m freløbig suspensin af det pågældende system. 8 Skal bruddet anmeldes til Datatilsynet g den registrerede? Gruppen: Juridisk kmpetence Der fretages en indledende vurdering af fejlens mfang g knsekvenser evt. i samarbejde med leverandøren eller andre implicerede aktører. Vurderingen skal medføre en beslutning m, hvrvidt bruddet skal anmeldes til Datatilsynet g evt. registrerede? - Ja: Aktivitet nr. 9: Anmeld til Datatilsynet g evt. registrerede - Nej: Aktivitet nr. 11: Dkumenter beslutninger g hændelsesfrløb Bilag 1: Beslutningstræ - Anmeldelse til Datatilsynet g den registrerede? Den juridiske vurdering udføres på baggrund af verblikket fra aktivitet nr. 4 g 6 venfr m de mulige knsekvenser fr de registrerede, g hvrvidt underretninger kan undtages. 9 Anmeld til Datatilsynet g evt. registrerede DPO BP Fremsendelse af underretninger til Datatilsynet samt evt. registrerede. Med registrerede frstås de persner (ftest brgere), hvis plysninger er mfattet af sikkerhedsbruddet, g sm dermed er berørte. Kpi af alle underretninger, sm sendes til Datatilsynet g/eller de berørte registrerede, sendes samtidig til KK s DPO uanset DPO ens tilkendegivelse beskrevet i aktivitet nr. 5 Underret ledelse venfr. Bilag 5: Vejledning til anmeldelse til tilsynsmyndigheden Bilag 6: Skabeln til underretning af den registrerede Bilag 7: Standardvejledninger til Brgeren m afhjælpning 5

11 Det er kun de brgere, sm er direkte berørt af sikkerhedsbruddet, sm i denne frbindelse skal underrettes i henhld til Databeskyttelsesfrrdningen. Ikke-berørte brgere vil evt. blive rienteret via pressen sm følge af aktivitet nr. 10: Frestå evt. intern/ekstern kmmunikatin. af knsekvenserne fr Sikkerhedsbruddet 10 Frestå evt. intern/ekstern kmmunikatin 11 Dkumenter beslutninger g hændelsesfrløb Gruppen: Kmmunikatinskmpetence Gruppen: Juridisk kmpetence Ved den evt. udarbejdelse af underretninger til de berørte registrerede, bør de juridiske kmpetencer i nødvendigt mfang g inden fr rammerne af Databeskyttelsesfrrdningen søge inputs fra kmmunikatinskmpetencerne med henblik på at udfrme underretningerne således, at antallet af efterfølgende henvendelser fra brgere i frm af f.eks. (akt)indsigtsanmdninger minimeres. Det er fx relevant ved større brud samt ved brud, sm grundet deres (type)indhld g mfang må frventes at medføre en vis bevågenhed. Vedlagte bilag 5 fr udarbejdelse af anmeldelse til Datatilsynet g bilag 6 & 7 fr underretning af berørte registrerede kan bruges. Evt. øvrig intern g ekstern kmmunikatin På baggrund af aktivitets nr. 9: Anmeld til Datatilsynet g evt. registrerede venfr udarbejdes en plan fr den øvrige interne g eksterne kmmunikatin. Sørg fr, at al intern g ekstern kmmunikatin udsendes samtidigt, hvis dette er påkrævet, g at budskaberne er ens. Evt. pressestrategi Varetage pressestrategi i samråd med ledelsen g evt. ekstern kmmunikatin/presserådgiver. Evt. kmmunikatin til øvrige medarbejdere Udarbejdelse af eventuelle meddelelser til relevante medarbejdere. Der udarbejdes endelig dkumentatin fr sikkerhedsbruddet med henblik på pfyldelse af dkumentatinskravet samt at iagttage franstaltninger fr at minimere risik fr gentagelser. Dkumentatinen skal udarbejdes uagtet evt. beslutninger m undladelse af underretning til Datatilsynet samt evt. berørte registrerede. Dkumentatinen jurnaliseres i ServiceNw. 6

12 12 Opdater i ServiceNw g luk sag DPO BP Beslutninger g håndtering af brud dkumenteres i ServiceNw. Slut Persndatabrud håndteret DPO BP Prcessen afsluttes g infrmatiner m håndteringen af persndatabruddet lagres. 7

13 BILAG 1: BESLUTNINGSTRÆ - ANMELDELSE TIL DATATILSYNET OG DEN REGISTREREDE? Dkumentatinen angives i de dertil indrettede felter i systemunderstøttelsen (ServiceNw). Fr den blå dkumentatinsbks anvendes feltet: [pdateres d. 25/5] Fr den range dkumentatinsbks anvendes feltet: [pdateres d. 25/5] Fr den grønne dkumentatinsbks anvendes feltet: [pdateres d. 25/5] 8

14 AKTIVITETREF. RISIKOREFNR. VURDERING AF IBOENDE RISIKO KONSEKVENS SANDSYNLIGHED COMPLIANCE OPERATIONEL BESVIGELSE FINANSIEL FÆLLES ADMINISTRATIV FORRETNINGSGANG BILAG 2: RISIKOVURDERING RISIKOTYPE BESKRIVELSE AF RISIKOEN RISIKO-VUR- DERING UDDYBENDE RISIKOVURDERING OG RATIONALE SÅFREMT DET BESLUTTES AT RISIKOEN IKKE SKAL AFDÆKKES/MITIGERES R (start) X X Medarbejdere indberetter ikke et ptentielt brud Hændelsen indberettes ikke, frdi medarbejderen ikke har kendskab til hvilke infrmatiner der kan karakteriseres sm persndata g/eller hvrnår der kan være tale m et brud. 3 2 Høj Sandsynlighed Det vurderes meget sandsynligt da persndatalvgivningen er ny, kmpleks g stiller stre krav til pmærksmheden fra samtlige medarbejdere i KK. Knsekvens Vurderes væsentlig da KK ikke er cmpliant ift. persndatafrrdningen eller KK s egen it-sikkerhedsplitik. Det vurderes, at de brud, der ikke vil blive indberettet, vil have en begrænset påvirkning ift. image g lvgivning. Knklusin Den enkelte frvaltning frestår egne awarenes- g undervisningskampagner fr at uddanne medarbejderne fr at mitigere risiken. 9

15 R X DPO BP en mdtager ikke indberetningen Sm følge af manglende persnlig tilgængelighed, frkerte kntakt plysninger, nedbrudte systemer, fr lang ventetid i serviceindgangen mv. risikerer DPO BP en ikke at mdtage en medarbejders indberetning. 1 2 Lav Sandsynlighed Vurderes usandsynligt da der primært vil være tale m persnlige fejl, idét it-systemer g serviceprcesser vil understøtte størstedelen af indberetningerne. Knsekvens Vurderes væsentlig da, der her ikke vil blive taget hånd m ptentielle brud med imagemæssige g lvgivningsmæssige knsekvenser. Knklusin Sm følge af den lave sandsynlighed vurderes det ikke nødvendigt med frvaltningsspecifikke kntrller i relatin til frretningsgangen. Kntrl af systemunderstøttelsen g serviceindgangens virke er placeret andetsteds i KK. 6 X X Manglende juridisk hjemmel til at få den nødvendige infrmatin Det kan i visse tilfælde være vanskeligt at få de infrmatiner, KK vurderer der er behv fr. Enten frdi leverandøren ikke er i stand til at plyse dem eller databehandler aftalen ikke giver hjemmel hertil. 1 3 Lav Sandsynlighed Sandsynligheden vurderes lav sm følge af KK s plitik m brug af KK s standard databehandleraftale. Knsekvens Ved manglende juridisk hjemmel kan KK ikke være sikre på at mdtage alle plysninger, der skal anvendes fr at stppe bruddet g anmelde til datatilsynet. Knsekvenserne er stre både af hensyn til evt. systemfunktinalitet, image g lvgivning. Knklusin I KK er aftaler med leverandører altid indgået skriftligt, hvrfr de interne KK prcesser tilskynder, at der frelægger en databehandleraftale. Kvalitetssikringen, kntrl af databehandleraftalen samt leverandørsamarbejdet i øvrigt placeres i andre KK prcesser. Derfr vurderes det ikke nødvendigt med ekstra frvaltningsspecifikke kntrller ift. den beskrevne risik. 10

16 8 Bruddet vurderes fejlagtigt Det indmeldte brud vurderes ikke at udgøre en sandsynlig risik fr fysiske persners rettigheder g anmeldes derfr ikke til datatilsynet. 2 3 Høj Sandsynlighed Sandsynligheden fr fejlvurderinger vurderes rimelig sandsynlig, sm følge af de nye pstillede retningslinjer g manglende præcedens. Knsekvens Fejlvurderingerne kan medføre stre knsekvenser fx i frbindelse med statslige tilsyn. Særligt vil der i frbindelse med ikrafttrædelsen i 2018 være en str mediebevågenhed, der kan føre til stre imagemæssige knsekvenser. 11 X Manglende jurnalisering af beslutninger, nye franstaltninger mv. Opklaringen g tekniske infrmatiner kan være spredt imellem DPO BP, medlemmer af gruppen g andre aktører. Derfr kan manglende jurnalisering fra en eller flere individer medføre ukrrekt dkumentatin af bruddet. 2 3 Mellem Knklusin Der skal udarbejdes retningslinjer, der kan anvendes i frbindelse med vurderingerne. Retningslinjerne, risikvurderingen g indførelsen af evt. kntrller vurderes når KK får mere viden m de brud, der indmeldes. Sandsynlighed Sandsynligheden fr manglende jurnalisering vurderes rimelig, særligt i de situatiner, hvr aktiviteter i frbindelse med bruddet varetages af medarbejdere, der ikke har adgang til systemunderstøttelsen (ServiceNw). Knsekvens Manglende dkumentatin kan medføre stre knsekvenser af både imagemæssig- g lvgivningsmæssig karakter i frbindelse med aktindsigter, statslige tilsyn mv. Knklusin Den enkelte frvaltning frestår egne kntrller, arbejdsgange g uddannelse fr at sikre den relevante dkumentatin. 11

17 Bilag 3: Vejledning til arbejdet med brud på persndatasikkerheden Brud på persndatasikkerheden Et brud på persndatasikkerheden ( Sikkerhedsbrud ) er i databeskyttelsesfrrdningens artikel 4, stk. 1, nr. 12, defineret sm: Et brud på sikkerheden, der fører til hændelig eller ulvlig tilintetgørelse, tab, ændring, uautriseret videregivelse af eller adgang til persnplysninger, der er transmitteret, pbevaret eller på anden måde behandlet. Definitinen af Sikkerhedsbrud sigter dermed md at rumme alle tænkelige tilfælde, hvr persnplysninger behandles på en utilsigtet måde. Det følger herefter af databeskyttelsesfrrdningens artikel 33, at der skal fretages anmeldelse til Datatilsynet, hvis Sikkerhedsbruddet indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder. Det betyder, at delmængden af venstående definitin af Sikkerhedsbrud, sm indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder, udløser en pligt til at fretage anmeldelse til Datatilsynet. Hertil følger det endvidere af databeskyttelsesfrrdningens artikel 34, at der skal fretages underretning til den registrerede (herefter Brger ), hvis Sikkerhedsbruddet sandsynligvis vil indebære en høj risik fr fysiske persners rettigheder g frihedsrettigheder. Det betyder, at en yderligere delmængde af venstående gså medfører en pligt til underretning til Brgere, hvis sikkerhedsbruddet sandsynligvis vil indebære en høj risik fr fysiske persners rettigheder g frihedsrettigheder. Sammenhængen mellem de tre delmængder kan lidt frsimplet illustreres således: Hvrnår skal der fretages anmeldelse til Datatilsynet Sm nævnt venfr, skal der fretages anmeldelse til Datatilsynet, hvis det ikke er usandsynligt, at bruddet på persndatasikkerheden indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder. Det vil i praksis betyde, at udgangspunktet er, at alle Sikkerhedsbrud medfører en pligt til anmeldelse til Datatilsynet. 12

18 En risik fr fysiske persners rettigheder g frihedsrettigheder mfatter bl.a. diskriminatin, identitetstyveri eller -svindel, øknmisk tab, skade på mdømme, tab af frtrlighed af data underlagt tavshedspligt eller enhver anden væsentlig øknmisk eller scial ulempe fr Brgeren. Det kan fx være i følgende situatiner: Offentliggørelse af beskyttet adresse: Kmmunen ffentliggør et brev på kmmunens hjemmeside, hvr en brgers beskyttede adresse fremgår. Sådan en ffentliggørelse medfører en pligt til anmeldelse til Datatilsynet g til at fretage underretning til Brgeren. Offentliggørelse af lgin g passwrd: Kmmunen ffentliggør en række Brgeres lgin g passwrd til en kmmunal hjemmeside. Hjemmesiden indehlder kun få g ikke følsmme plysninger. Da mange Brgere bruger de samme lgin- g passwrdplysninger til frskellige hjemmesider g tjenester, kan plysningerne derfr give uvedkmmende indirekte adgang til andre hjemmesider, sm indehlder de berørte Brgeres følsmme plysninger. Sådan en ffentliggørelse vil derfr medføre pligt til anmeldelse til Datatilsynet g til at fretage underretning til Brgerne. Hvrnår anmeldelse til Datatilsynet ikke er nødvendig. Selvm udgangspunktet er, at alle Sikkerhedsbrud medfører en pligt til anmeldelse til Datatilsynet, er der situatiner, hvr det er usandsynligt, at Sikkerhedsbruddet indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder. Det kan fx være i følgende situatiner: Tabt lagringsmedie: Hvis det knstateres, at et lagringsmedie (fx USB-nøgle eller harddisk) indehldende persnplysninger er mistet, men at mediet er krypteret så stærkt, at det er usandsynligt, at uvedkmmende kan bryde krypteringen. Utilsigtet ffentliggørelse på hjemmeside: Hvis det knstateres, at der ved en fejl er upladet persnplysninger på en kmmunal ejet hjemmeside, men at det ved gennemgang af lggen kan knkluderes, at den pågældende hjemmeside ikke har haft besøgende (fx hvis der er tale m en specialiseret underside), g at det samtidig kan knkluderes, at hjemmesiden ikke er blevet crawlet af fx Ggles søgemaskine. Strømnedbrud: En frvaltning i kmmunen rammes af et strømnedbrud, der varer i ca. 10 minutter, hvr det ikke er muligt at tilgå frvaltningens it-systemer, herunder elektrniske jurnaler. Ingen plysninger er mistet, g arbejdet kan herefter frtsætte. Vildfaren krypteret En sagsbehandler sender via digital pst en besvarelse af en aktindsigtsanmdning fra en sag m sygedagpenge til en frkert brger. Dg er besvarelsen af aktindsigtsanmdningen pakket i en krypteret fil, hvrtil sagsbehandleren havde planlagt at eftersende kderd, hvrfr mdtageren ikke kan åbne den krypterede fil. Nabfesten: En kmmune vil sende et brev vedrørende nabvarsel m en str fest i nablaget. Ved en fejl sender kmmunen via digital pst brevet til en frkert brger. Brevet indehlder den prindelige brgers navn g adresse g intet andet. Brgeren, der mdtager brevet, gør straks kmmunen pmærksm på fejlen. Kmmunen aftaler skriftligt med brgeren, der har mdtaget brevet, at vedkmmende sletter det. Hvr skal der fretages underretning til Brgeren Frskellen fra, hvrnår det er usandsynligt, at bruddet på persndatasikkerheden indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder sm medfører en pligt til anmeldelse til Datatilsynet til hvr Sikkerhedsbruddet sandsynligvis vil indebære en høj risik fr 13

19 fysiske persners rettigheder g frihedsrettigheder sm medfører en pligt til underretning til Brgeren er ikke str. I mange tilfælde vil en pligt til anmeldelse til Datatilsynet ligeledes medføre pligt til gså at fretage underretning til Brgeren. Undtaget herfra synes kun at være de tilfælde, hvr man ikke kan afvise, at Sikkerhedsbruddet indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder, men hvr man samtidig har en begrundet frventning m, at risiken ikke realiseres. Det praktiske udgangspunkt er derfr, at hvis der fretages anmeldelse til Datatilsynet, skal der ligeledes fretages underretning til Brgeren. Hvis der fretages anmeldelse til Datatilsynet, kan underretning til Brgeren dg undtages, hvis: Hvis Sikkerhedsbruddet ikke medfører en høj risik fr fysiske persners rettigheder eller frihedsrettigheder fx hvis det kan knstateres, at der er blevet fremsendt en til få g identificerede brgere, sm ikke kan tænkes at kunne g ville udnytte plysningerne. Hvis der er gennemført passende tekniske g rganisatriske beskyttelsesfranstaltninger, g disse franstaltninger er blevet anvendt til beskyttelsen af persnplysninger, sm er berørt af Sikkerhedsbruddet se fx eksemplet med det tabte lagringsmedie med høj kryptering venfr. Hvis der er truffet efterfølgende franstaltninger, der sikrer, at den høje risik fr Brgernes rettigheder g frihedsrettigheder ikke længere er reel fx hvis der knstateres et hul i sikkerheden på en hjemmeside, men at hullet hurtigt lukkes, g det samtidig kan dkumenteres, at hullet ikke har været udnyttet. Hvis individuel underretning vil kræve en ufrhldsmæssig indsats fx hvis ét af kmmunens byggesagsarkiver versvømmes, g dkumenter på byggesager, sm har været afsluttet i ver 25 år, mistes. I så fald vil en meddelelse på kmmunens hjemmeside være tilstrækkelig. Operatinel spørgeguide På baggrund af venstående pinter freslås herefter en spørgeguide til brug fr afklaring af, m der skal fretages anmeldelse til Datatilsynet samt eventuel underretning til Brgeren. Spørgsmål til brug fr afklaring af, m der skal der fretages anmeldelse til Datatilsynet Ved ethvert Sikkerhedsbrud, skal der sm udgangspunkt fretages anmeldelse til Datatilsynet. Anmeldelsen kan dg undtages, hvis det kan afvises, at Sikkerhedsbruddet indebærer en risik fr fysiske persners rettigheder eller frihedsrettigheder. Det kan navnlig afvises, hvis følgende frhld alle kan dkumenteres: Starttidspunktet fr Sikkerhedsbruddet. Sluttidspunktet fr Sikkerhedsbruddet. Omfanget af Sikkerhedsbruddet. Årsagen til Sikkerhedsbruddet. Persnplysninger er ikke kmmet til uvedkmmendes kendskab g selvm persnplysninger er kmmet til uvedkmmendes kendskab, kan det påvises: 14

20 Hvem de uvedkmmende mdtagere af plysninger er, at de uvedkmmende mdtagere af persnplysningerne mangler enten viljen eller muligheden fr at udnytte plysningerne, g at de uvedkmmende mdtagere af plysninger ikke længere er i besiddelse af plysningerne. Spørgsmål til brug fr afklaring af, m der skal der fretages underretning til Brgeren Hvis det er besluttet, at der skal fretages anmeldelse til Datatilsynet, er udgangspunktet, at der ligeledes skal fretages underretning til Brgeren. Underretning kan dg undtages, hvis det kan afvises, at Sikkerhedsbruddet indebærer en høj risik fr fysiske persners rettigheder eller frihedsrettigheder. Det kan navnlig afvises, hvis ét af følgende frhld kan dkumenteres: Risiken fr Sikkerhedsbruddet er ikke høj. Risiken vurderes ud fra en samlet vurdering af: Hvilken type Sikkerhedsbrud er der tale m? Er persnplysningerne ffentliggjrt på internettet (høj risik), eller har man bare glemt, hvr præcist i et pbevaringsarkiv, man har gemt plysningerne (lav risik)? Hvad er knteksten, følsmheden g mængden af plysningerne? Hvr nemt er det fr uvedkmmende at identificere de persner, sm plysningerne vedrører? Hvr str er risiken fr, at Brgeren plever et tab af rettigheder g frihedsrettigheder sm følge af Sikkerhedsbruddet? Er der tale m en særlig udsat type af Brger fx børn eller scialt udsatte? Hvr mange Brgere vedrører plysningerne? Hvilken frvaltning/enhed er ansvarlig fr Sikkerhedsbruddet? Der er gennemført passende tekniske g rganisatriske franstaltninger, således at det kan påvises, at: Eventuelle uvedkmmende mdtagere af plysningerne er frhindret i at tilgå g benytte plysningerne fx hvis plysningerne er krypterede. Den høje risik fr Brgernes tab af rettigheder g frihedsrettigheder er ikke længere reel, g det kan påvises, at: Oplysningerne ikke har været tilgået g benyttet af uvedkmmende, mens risiken stadig var reel. Hvis underretning kræver en ufrhldsmæssig indsats fx i tilfælde af, at indsatserne fr at fretage individuelle underretninger ikke står i mål de negligerbare knsekvenser, sm de registrerede ptentielt kan pleve. 15

21 Bilag 4: Vejledning m håndtering af brud på persndatasikkerheden Vejledningen findes på følgende URL: Nedenfr er frrdet fr versinen fra februar 2018 gengivet: Når databeskyttelsesfrrdningen finder anvendelse i Danmark g resten af EU fra den 25. maj 2018, vil der sm nget nyt gælde en generel frpligtelse fr alle dataansvarlige til sm udgangspunkt at anmelde brud på persndatasikkerheden til Datatilsynet. Anmeldelsen skal ske uden unødig frsinkelse g m muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet. Samtidig fastsættes der en frpligtelse, sm allerede i dag tlkes ud af persndatalvens grundregel m gd databehandlingsskik g Datatilsynets praksis, til sm udgangspunkt at underrette de registrerede i tilfælde af brud på persndatasikkerheden. Begge frpligtelser er udtryk fr databeskyttelsesfrrdningens fkus på ansvarlighed, når det kmmer til at verhlde databeskyttelsesreglerne. Reglerne har til frmål at tilvejebringe gennemsigtighed g især at sikre, at dataansvarlige reagerer, når der pstår et brud på persndatasikkerheden. Det skal i tilknytning hertil nævnes, at hvis reglerne m anmeldelse af brud på persndatasikkerheden g underretning af de registrerede ikke verhldes, har Datatilsynet en række krrigerende beføjelser. Tilsynet kan f.eks. udtale kritik eller udstede et påbud. Afhængigt af mstændighederne i hver enkelt sag kan der imidlertid gså blive tale m at sanktinere den manglende efterlevelse af reglerne med bøde enten i kmbinatin med eller i stedet fr en af Datatilsynets krrigerende beføjelser. Denne vejledning er målrettet de dataansvarlige private virksmheder, ffentlige myndigheder, fysiske persner, institutiner g andre rganer, sm i tilfælde af et sikkerhedsbrud, der invlverer persnplysninger, skal vurdere, m der i den frbindelse er pligt til at anmelde bruddet til Datatilsynet g pligt til at underrette de registrerede. Herudver indehlder vejledningen en gennemgang af de indhldsmæssige krav til en anmeldelse/underretning m et sikkerhedsbrud, ligesm der i vejledningen vil blive redegjrt fr frrdningens krav til tidspunktet fr, hvrnår der skal ske anmeldelse/underretning, g måden hvrpå anmeldelsen skal indgives til Datatil-synet. Ønskes en nærmere gennemgang af reglerne, henvises der bl.a. til selve lvteksten i databeskyttelsesfrrdningens kapitel IV, afdeling 2 (Eurpa-Parlamentets g Rådets frrdning (EU) 2016/679 af 27. april 2016 m beskyttelse af fysiske persner i frbindelse med behandling af persnplysninger g m fri udveksling af sådanne plysninger) samt afsnittene g i betænkning nr. 1565/2017 m databeskyttelsesfrrdningen g de retlige rammer fr dansk lvgivning. Artikel 29-gruppen (fremver Det Eurpæiske Databeskyttelsesråd) har gså ffentliggjrt en vejledning m underretning af brud på persndatasikkerheden ( Guidelines n persnal data breach ntificatin under Regulatin 2016/679 ) (WP 250 rev 01). Vejledningen kan findes på Det bemærkes, at vejledningen vil blive pdateret, når frslaget til den nye databeskyttelseslv er vedtaget. 16

22 Bilag 5: Vejledning til anmeldelse til tilsynsmyndigheden ved brud på persndatasikkerheden I henhld til Databeskyttelsesfrrdningens artikel 33 anmeldelses nedenstående til Datatilsynet: En beskrivelse af karakteren af bruddet på persndatasikkerheden, herunder, hvis det er muligt, kategrierne g det mtrentlige antal berørte registrerede samt kategrierne g det mtrentlige antal berørte registreringer af persnplysninger Navn g kntaktplysninger fr databeskyttelsesrådgiveren eller et andet kntaktpunkt, hvr yderligere plysninger kan indhentes En beskrivelse af de sandsynlige knsekvenser af bruddet på persndatasikkerheden En beskrivelse af de franstaltninger, sm Københavns Kmmune har truffet eller freslår truffet fr at håndtere bruddet på persndatasikkerheden, herunder, hvis det er relevant, franstaltninger fr at begrænse dets mulige skadevirkninger Anmeldelse sker gennem virk.dk på den netp ffentliggjrte prtal: Kncern IT udarbejder g udsender en supplerende vejledning til anmeldelsen. 17

23 Bilag 6: Skabeln til underretning til den registrerede ved brud på persndatasikkerheden I henhld til Databeskyttelsesfrrdningens artikel 34 anmeldelses nedenstående til dig sm registreret: En beskrivelse af karakteren af bruddet på persndatasikkerheden i et klart g frståeligt sprg [Indsæt en beskrivelse af karakteren af bruddet på persndatasikkerheden i et klart g frståeligt sprg:] Navn g kntaktplysninger fr databeskyttelsesrådgiveren eller et andet kntaktpunkt, hvr yderligere plysninger kan indhentes [Indsæt navn g kntaktplysninger fr databeskyttelsesrådgiveren eller et andet kntaktpunkt, hvr yderligere plysninger kan indhentes:] En beskrivelse af de sandsynlige knsekvenser af bruddet på persndatasikkerheden [Indsæt en beskrivelse af de sandsynlige knsekvenser af bruddet på persndatasikkerheden:] En beskrivelse af de franstaltninger, sm Københavns Kmmune har truffet eller freslår truffet fr at håndtere bruddet på persndatasikkerheden, herunder, hvis det er relevant, franstaltninger fr at begrænse dets mulige skadevirkninger 18

24 [Indsæt en beskrivelse af de franstaltninger, sm Københavns Kmmune har truffet eller freslår truffet fr at håndtere bruddet på persndatasikkerheden, herunder, hvis det er relevant, franstaltninger fr at begrænse dets mulige skadevirkninger:] 19

25 Bilag 7: Standardvejledninger til Brgeren m afhjælpning af knsekvenserne fr Sikkerhedsbruddet Standardvejledninger til Brgeren m afhjælpning af knsekvenserne fr Sikkerhedsbruddet I frbindelse med underretning til Brgerne, skal kmmunen samtidig rientere m, hvrdan Sikkerhedsbruddets ptentielle risici kan minimeres. En sådan underretning skal altid være tilpasset, men det kan alligevel frventes, at der vil pstå typetilfælde, hvrtil der kan frberedes standardtekster. Sådanne tekster kan fx være: NemID: Oplysninger m dit NemID er kmmet til uvedkmmendes kendskab, g du bør straks spærre dit nøglekrt. Du spærrer dit nøglekrt ved at lgge på med dit NemID g adgangskde. Der sendes ikke autmatisk et nyt nøglekrt. Fr at bestille et nyt nøglekrt nline skal du legitimere dig med dit danske pas eller kørekrt. CPR.nr: Oplysninger m dit CPR.nr. er kmmet til uvedkmmendes kendskab, g du bør straks kntakte den sælger, virksmhed eller ffentlige myndighed, sm du har mistanke til, kan misbruge dit CPR.nr. Her skal du plyse, at din identitet er blevet misbrugt, g at du derfr ikke anser dig fr bundet af aftalen eller frhldet. Du kan i særlige tilfælde få et nyt persnnummer, såfremt det er blevet misbrugt. 20