Informationsproces når persondata er blevet kompromitteret

Relaterede dokumenter
Databrudspolitik i Luthersk Mission

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Persondata og sikkerhedsbrud

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retningslinjer om brud på persondata

Brud på datasikkerheden

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Behandling af personoplysninger

Retningslinjer om brud på persondatasikkerheden

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retningslinjer om brud på persondatasikkerheden

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Persondataforordningen

Aftale vedrørende fælles dataansvar

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Brud på persondatasikkerheden

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Cirkulæreskrivelse om fælles dataansvar vedrørende Moderniseringsstyrelsens fællesoffentlige systemer

CIR1H nr 9352 af 23/05/2018 (Gældende) Udskriftsdato: 24. maj Senere ændringer til forskriften Ingen. Journalnummer: Kirkemin., j.nr.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Persondataforordningen den 20. februar 2018

Databehandleraftale. SMPLR ApS. 24. maj 2018 Version 1.0. Brandts Passage 15, Odense C

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

1 Indhold. Side 2 af 15

Databehandleraftale (v.1.1)

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Bilag 1 Databehandler aftale (v.1.2)

Introduktion til persondataforordning

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

BILAG 5 DATABEHANDLERAFTALE

IT sikkerhedspolitik for Business Institute A/S

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Databehandleraftale (Skabelon fra Datatilsynet)

! Databehandleraftale

Privatlivspolitik ekstern persondatapolitik

At alle medarbejdere i Center for selvejende Dagtilbud (CSD) har pligt til at anmelde persondatabrud.

Databehandleraftale Om Valeurs behandling af oplysninger på vegne af kunden

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger ) Generelt om databeskyttelse Gennemsigtighed og samtykke...

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databeskyttelsesdagen

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

GML-HR A/S CVR-nr.:

DATABEHANDLERAFTALE. Omsorgsbemanding

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondata politik for GHP Gildhøj Privathospital

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

PRIVATLIVSPOLITIK - NETTO-BÅDENE A/S

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

Databehandler aftale

Beredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

Bilag 6 Databehandleraftale v.1.1

Beredskabsplan for Kolding HF & VUC

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

PERSONDATAPOLITIK. Indholdsfortegnelse. Kontaktoplysninger... 2

Politik for håndtering af persondata for Sønderho Antenneforening

Databehandleraftale. Mellem. Den dataansvarlige: (Virksomhedsnavn) (CPR) (Adresse) Databehandleren. Work Balance Institute ApS CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Firma Navn CVR Adresse Postnummer og by Land . Databehandleren

Bilag A. j2 Global Denmark A/S (VIPRE) Vilkår for Databehandling

Hvad er Informationssikkerhed

Databehandleraftale. Mellem. Den dataansvarlige: Brugeren af Axolex systemet. Databehandleren. Axolex ApS CVR Strandesplanaden 110

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Databehandleraftale CamVision A/S, CVR CamVision Finans ApS, CVR Smedeholm Herlev Danmark

3 Omfattede typer af personoplysninger og kategorier af registrerede

Procedure for sikkerhedsbrud

Databehandleraftale. Mellem. Den dataansvarlige: Navn: CVR: Adresse: Databehandleren. ExamCookie CVR Peder Skrams Gade 1, 1.tv.

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

JDM Sikkerhedsaftale. - et vigtigt skridt mod overholdelse af EU Persondataforordningen GDPR

Persondatapolitik for Aabenraa Statsskole

Persondataforordningen. Henrik Aslund Pedersen Partner

10/01/2012 ESMA/2011/188

Standardvilkår. Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Persondatapolitik på Gentofte Studenterkursus

BILAG TILSYN OG EGENKONTROL UDFØRT DEN [INDSÆT: DATO]

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. DoCAS Systems A/S CVR Jernbanegade 5, Ebeltoft

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

Persondatapolitik Vordingborg Gymnasium & HF

Transkript:

Informationsproces når persondata er blevet kompromitteret Følgende artikler i EU s persondataforordning behandles af dette dokument: Artikel 33 - Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden Artikel 34 - Underretning om brud på persondatasikkerheden til den registrerede Procedure ved persondatabrud, version 1, 04.05.2018 1

Indhold 1 INTRODUKTION... 3 2 INFORMATIONSPROCES NÅR PERSONDATA ER BLEVET KOMPROMITTERET... 4 2.1 TILSYNSMYNDIGHEDEN... 4 2.1.1 Beslutning om hvorvidt Tilsynsmyndigheden skal underrettes... 4 2.1.2 Hvordan informeres tilsynsmyndigheden... 5 2.2 DATA SUBJEKTET... 6 2.2.1 Beslutning om hvorvidt de berørte personer skal underrettes.... 6 2.2.2 Hvordan informeres de berørte personer... 7 DOKUMENTINFORMATION... 7 Procedure ved persondatabrud, version 1, 04.05.2018 2

1 Introduktion Denne procedure er beregnet til at blive brugt, når en hændelse af en eller anden art har fundet sted, der har resulteret i eller formodes at have resulteret i tab af persondata, som organisationen er ansvarlig for. Dette dokument skal bruges sammen med Håndtering af situationer hvor persondata bliver kompromitteret, der beskriver den overordnede proces for at reagere på en hændelse, der berører informationssikkerheden for Business Institute A/S. Det er et krav i EU's Persondataforordning fra 2016 (GDPR), at hændelser, der sandsynligvis vil medføre en risiko for de registreredes persondata, skal indberettes til tilsynsmyndigheden for databeskyttelse uden unødig forsinkelse, og hvor muligt inden for 72 timer efter at være opmærksom på det. I tilfælde af at 72-timers målet ikke er opfyldt, skal årsagerne til forsinkelsen gives. Hvor en hændelse påvirker personoplysninger, skal der træffes afgørelse om omfanget, timingen og indholdet af kommunikationen med de registrerede. GDPR kræver, at kommunikationen skal ske "uden unødig forsinkelse", hvis overtrædelsen sandsynligvis vil resultere i høj risiko for kompromittering af fysiske personers data. De handlinger, der er beskrevet i dette dokument, bør kun bruges som vejledning ved besvarelse af en hændelse. Den konkrete karakter af en hændelse og dens indvirkning kan ikke altid forudsiges, og det er derfor vigtigt, at der anvendes en god grad af sund fornuft, når man beslutter hvad man skal gøre. Det er dog meningen, at de trin, der er beskrevet her, vil vise sig nyttige for at sikre, at vores forpligtigelser under GDPR er opfyldt. Procedure ved persondatabrud, version 1, 04.05.2018 3

2 Informationsproces når persondata er blevet kompromitteret Når det er blevet besluttet, at der er sket brud omhandlende persondata, er der to parter, som ifølge GDPR muligvis har krav på at blive informeret. Disse er: 1. Tilsynsmyndigheden 2. De berørte personer Det er ikke en automatisk konklusion, at overtrædelsen skal meddeles; dette afhænger af en vurdering af risikoen for, at overtrædelsen indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder (GDPR artikel 33). De følgende afsnit beskriver, hvordan denne beslutning skal træffes, og hvad man skal gøre, hvis der kræves anmeldelse. 2.1 Tilsynsmyndigheden Tilsynsmyndigheden vedrørende GDPR for Business Institute A/S er: Navn: Datatilsynet Adresse: Borgergade 28, 5 1300 København Telefon: Email: Andet: Tabel 1 Kontakt informationen for tilsynsmyndigheden Hvis organisationen opererer internationalt, er ovenstående detaljer for den udpegede hovedtilsynsmyndighed. 2.1.1 Beslutning om hvorvidt Tilsynsmyndigheden skal underrettes GDPR fastslår, at et persondatabrud skal meddeles tilsynsmyndigheden "medmindre overtrædelsen af personoplysninger sandsynligvis ikke medfører risiko for fysiske personers rettigheder og friheder" (GDPR artikel 33). Dette kræver, at organisationen vurderer risikoniveauet, inden det afgøres, om myndighederne skal informeres. Procedure ved persondatabrud, version 1, 04.05.2018 4

Faktorer, der skal tages i betragtning som en del af denne risikovurdering, bør omfatte: Om personoplysningerne var krypteret Hvis krypteret, hvor stærk var krypteringen I hvilket omfang dataene blev pseudoanonymiseret (dvs. om levende individer med rimelighed kan identificeres ud fra data) Data involveret f.eks. navn, adresse, bankoplysninger, biometri Mængden af involverede data Antallet af registrerede berørte Typen af overtrædelsen f.eks. tyveri, utilsigtet ødelæggelse Andre faktorer, der anses for relevante Parter, der er involveret i denne risikovurdering, kan omfatte repræsentanter fra følgende områder, afhængigt af arten og omstændighederne i forbindelse med kompromitteringen af personoplysninger: Ledelse Drift områderne IT Risikovurderingsmetoden, dens begrundelse og dens konklusioner skal være fuldt dokumenteret og underskrevet af ledelsen. Resultatet af risikovurderingen skal indeholde en af følgende konklusioner: 1. Bruddet på personlige data kræver ikke anmeldelse 2. Persondatabruddet kræver kun underretning til tilsynsmyndigheden 3. Persondatabruddet kræver underretning både til tilsynsmyndigheden og de berørte registrerede Disse konklusioner kan ændres på baggrund af feedback fra tilsynsmyndigheden og yderligere oplysninger, der opdages som led i den igangværende undersøgelse af hændelsen. 2.1.2 Hvordan informeres tilsynsmyndigheden I tilfælde af, at det er besluttet at underrette tilsynsmyndigheden, kræver GDPR, at dette gøres "uden unødig forsinkelse og, hvor det er muligt, højst 72 timer efter at have fået kendskab til bruddet" (GDPR artikel 33). Hvis der er rimelig grund til ikke at have anmeldt bruddet inden for den angivende tid, skal disse grunde gives som en del af anmeldelsen. Meddelelsen skal sendes via passende sikre midler til den myndighed, der er angivet i tabel 1. Følgende informationer skal oplyses som led i anmeldelsen: Procedure ved persondatabrud, version 1, 04.05.2018 5

a) Typen af persondata kompromitteret, herunder, hvis det er muligt: i. Omtrentlig antal berørte personer ii. Omtrentlige antal berørte personoplysninger b) Navn og kontaktoplysninger til den databeskyttelsesansvarlige eller til andet kontaktperson, hvor der kan indhentes flere oplysninger c) En beskrivelse af de sandsynlige konsekvenser af kompromitteringen af persondata d) En beskrivelse af de trufne eller foreslåede foranstaltninger, der skal træffes for at imødegå brud på persondata, herunder om nødvendigt, foranstaltninger til afhjælpning af eventuelle negative virkninger e) Hvis meddelelsen falder uden for 72-timers vinduet, forklares årsagen til, at den ikke blev indsendt tidligere. f) Skriftlig bekræftelse skal indhentes fra tilsynsmyndigheden om, at meddelelsen om krænkelse af personoplysninger er blevet modtaget, herunder dato og klokkeslæt, hvor den blev modtaget. Om nødvendigt tillader GDPR, at oplysningerne gives i faser uden unødig yderligere forsinkelse. Dokumentation af overtrædelsen af personoplysninger, herunder dens virkninger og afhjælpende foranstaltninger, vil blive udarbejdet som en del af Håndtering af situationer hvor persondata bliver kompromitteret. 2.2 Data Subjektet 2.2.1 Beslutning om hvorvidt de berørte personer skal underrettes. GDPR fastslår, at berørte personer skal informeres hvis der har været et databrud "når overtrædelsen af personoplysninger sandsynligvis vil medføre stor risiko for fysiske personers rettigheder og friheder" (GDPR-artikel 34). Bemærk tilføjelsen af ordet "stor" ud over definitionen i artikel 33. Den risikovurdering, der blev foretaget tidligere i denne procedure (afsnit 2.1.1), vil have fastslået, om risikoen for de berørte registreres rettigheder og frihedsrettigheder vurderes at være tilstrækkelig høj til at begrunde en underretning til dem. Hvis der senere er truffet foranstaltninger med henblik på at begrænse risikoen for de registrerede, så risikoen ikke længere er sandsynligt, vil kommunikationen til de registrerede ikke kræves af GDPR. Procedure ved persondatabrud, version 1, 04.05.2018 6

Meddelelse til berørte registrerede er heller ikke påbudt af GDPR, hvor den "ville indebære uforholdsmæssig indsats" (GDPR-artikel 34). I dette tilfælde skal der i stedet bruges en form for offentlig kommunikation. Igen kan dette ændre sig på baggrund af retningslinjer fra tilsynsmyndigheden og yderligere oplysninger, der opdages som led i den igangværende undersøgelse af overtrædelsen. 2.2.2 Hvordan informeres de berørte personer Når det er besluttet, at bruddet berettiger til information til de registrerede, kræver GDPR, at dette sker uden unødig forsinkelse. Meddelelsen til de berørte registrerede "skal klart og tydeligt beskrive karakteren af overtrædelsen af personoplysninger" (GDPR-artikel 34) og skal også omfatte: a) Navn og kontaktinformationer til den databeskyttelsesansvarlige eller anden kontaktpunkt, hvor der kan fås flere oplysninger b) En beskrivelse af de sandsynlige konsekvenser af tabet af persondata c) En beskrivelse af de trufne eller foreslåede foranstaltninger, der skal træffes for at imødegå brud på persondata, herunder om nødvendige foranstaltninger til afhjælpning af eventuelle negative konsekvenser Ud over de punkter, der kræves af GDPR, kan det være hensigtsmæssigt at give råd til den registrerede om de handlinger, de kan tage for at reducere de risici, der er forbundet med kompromitteringen af deres persondata. I de fleste tilfælde vil det være hensigtsmæssigt at underrette de berørte registrerede via brev eller e-mail eller begge dele for at sikre, at meddelelsen er modtaget, og at de har mulighed for at træffe de nødvendige foranstaltninger. Dokumentinformation Dokumentinformation: Kritikalitet: Offentlig Dokumentforfatter: direktør Lars Ib Dokumentansvarlig: direktør Lars Ib Godkendt af: bestyrelsesformand Jan Holmsgaard Versio n Ikrafttrædelses -dato Tekst / ændringer Hvem Dokumentnavn 1.0 23.04.2018 Nyt dokument. Lars Ib Procedure ved persondatabrud web Procedure ved persondatabrud, version 1, 04.05.2018 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback