Brud på persondatasikkerheden

Relaterede dokumenter
Databrudspolitik i Luthersk Mission

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Brud på datasikkerheden

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Retningslinjer om brud på persondatasikkerheden

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retningslinjer om brud på persondata

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Retningslinjer om brud på persondatasikkerheden

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

BILAG 5 DATABEHANDLERAFTALE

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

At alle medarbejdere i Center for selvejende Dagtilbud (CSD) har pligt til at anmelde persondatabrud.

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

Persondata og sikkerhedsbrud

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Behandling af personoplysninger

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Persondatapolitik Vordingborg Gymnasium & HF

Standardvilkår. Databehandleraftale

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Vejledning til indberetning af sikkerhedshændelse efter databeskyttelsesforordningen, retshåndhævelsesloven eller særregler for telesektoren

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

! Databehandleraftale

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Databehandleraftale INDHOLDSFORTEGNELSE

Persondatapolitik på Gentofte Studenterkursus

Persondatapolitik for Odense Katedralskole

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Databehandleraftale (v.1.1)

3 Omfattede typer af personoplysninger og kategorier af registrerede

Bilag B Databehandleraftale pr

Informationsproces når persondata er blevet kompromitteret

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

N. Zahles Skole Persondatapolitik

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Cirkulæreskrivelse om Styrelsen for It og Lærings opgaver som databehandler i visse administrative systemer på undervisningsområdet

3 Omfattede typer af personoplysninger og kategorier af registrerede

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

BILAG 14: DATABEHANDLERAFTALE

Bilag A Databehandleraftale pr

Bilag 1 Databehandler aftale (v.1.2)

DATABEHANDLERAFTALE [LEVERANDØR]

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Overblik over persondataforordningen

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Den dataansvarlige: Arrangøren. Databehandleren. Eventbilletten ApS CVR Syvstjernen Munkebo.

Databehandleraftale. Mellem. Den dataansvarlige: Firma: CVR: Adresse: Postnr og by: Land: Databehandleren TINX/DK A/S CVR

DATABEHANDLERAFTALE. indgået mellem. Navn: CVR-nr.: Adresse: Postnr. og by: (den Dataansvarlige ) og

1 Indhold. Side 2 af 15

Databehandleraftale. Mellem. Den dataansvarlige: SimplyJob Aps CVR Måløv Byvej Måløv. Danmark. Databehandleren.

Datapolitik/databehandlingsrapport

Databehandleraftale (Skabelon fra Datatilsynet)

Beredskabsplan for Kolding HF & VUC

Databehandlingsaftale

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Databehandleraftale. Mellem. DOF`s klubber. Konkret dataansvarlig klub. Databehandleren: Dansk Orienterings-Forbund (DOF) CVR:

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Databehandleraftale. Mellem. Kunder. Foredragsholdere, musikere og underholdere. Databehandler: ARTE BOOKING CVR DALVEJ HASLEV

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

D A T A B E H A N D L E R A F T A L E

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Databehandleraftale. Mellem. Den dataansvarlige kunde. Databehandleren. Øernes Revision Registreret revisionsaktieselskab.

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Databehandlervilkår. 1: Baggrund, formål og definitioner

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

Databehandleraftale. Compliancelog IVS. 25. maj 2018 Version

Vejledning om håndtering af brud på persondatasikkerheden

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

1.1. Leverandøren er databehandler for Kunden, idet Leverandøren varetager de i Appendiks 1 beskrevne databehandlingsopgaver for Kunden.

Vilkår og privatlivspolitik

Databehandleraftale. Mellem. Den dataansvarlige: Kunde hos Alsbogføring. Databehandleren. Alsbogføring.dk ApS. Møllegade Sønderborg.

Beredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden

Transkript:

Brud på persondatasikkerheden Marts 2018 Baggrund og formål Et af de mest omtalte emner i Databeskyttelsesforordningen relateres til brud på persondatasikkerheden, idet forordningen introducerer nogle meget konkrete forpligtelser: Krav om intern dokumentation om brud på persondatasikkerheden, Anmeldelsespligt til Datatilsynet og Underretningspligt mht. de registrerede. Formål med dette afsnit er at forklare nogle af hovedelementer vedr. disse forpligtelser. Yderligere informationer kan indhentes i Datatilsynets Vejledning om håndtering af brud på persondatasikkerheden (februar 2018), samt lovteksten i databeskyttelsesforordningens kapitel IV, afdeling 2 og afsnittene 5.11. og 5.12. i betænkning nr. 1565/2017 om databeskyttelsesforordningen og de retlige rammer for dansk lovgivning. Hvad er et brud på persondatasikkerheden? Et brud på persondatasikkerheden defineres som: et brud i sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller anden de behandlet. Selvom brud på persondatasikkerheden tit forbindes med sikkerhedsbrud i de anvendte IT-systemer, relateres det også til skolens egen behandling af personoplysninger. Således betragtes det også som et brud på persondatasikkerheden, når uautoriserede personer inden eller uden for skolen, får adgang til personoplysningerne. Det kan ske ved direkte uautoriseret adgang, eller hvis skolens personale, bevist eller ubevist, videregiver oplysningerne til en uautoriseret tredje part. Når skolens medarbejdere ved et uheld sletter eller ændrer personoplysningerne, er der også tale om et brud. Af andre eksempler kan det nævnes: tab af USB-stik med personoplysningerne; tyveri af skolens pc er; hacking af serveren, hvor personoplysninger opbevares; uautoriseret login på skolens administrationsprogram mm.

Hvilke brud skal anmeldes Datatilsynet? Som udgangspunkt skal Datatilsynet informeres om de fleste brud på persondatasikkerheden. Det er dog undtagelser, hvis det vurderes, at bruddet ikke indebærer en risiko for fysiske personers rettigheder. Risikoen for fysiske personers rettigheder og frihedsrettigheder defineres som noget der bl.a. omfatter: diskrimination, identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede. Risikovurdering er skolens egen ansvar, og det er skolen selv, der skal lave en konkret vurdering af konsekvenserne af bruddet på persondatasikkerheden. Datatilsynet anbefaler, at følgende forhold altid indgår den konkrete risikovurdering: 1. Typen af sikkerhedsbrud Typer kan være: sletning, ændring, videregivelse, tyveri osv. Det er nemlig stor forskel for konsekvensvurdering, om personoplysningerne blot er blevet slettet, eller om de er endt i de forkerte hænder med risiko for misbrug eller offentliggørelse. 2. Oplysningernes art Hvilke persondata (art) der er tale om, har en konkret betydning for risikovurdering. F.eks. vil oplysninger om ens helbred veje tungere end navn og adresse. Her skal man dog foretage en konkret vurdering, idet nogle personer kan bo på et bosted eller have adressebeskyttelse, hvor offentliggørelse kan få alvorlige konsekvenser for den pågældende. 3. Oplysningernes omfang Omfanget spiller en rolle kombineret med oplysningernes art. F.eks. har navn og adresse et lille omfang med evt. lille risiko. Men kompromittering af nogle få personfølsomme informationer kan på anden side have en stor betydning. På samme måde kan kompromittering af en større mængde mindre følsomme oplysninger (navn, adresse, telefon, e-mail, FB, Twitter mm.) tilsammen have skadelige konsekvenser. 4. Den tidsmæssige udstrækning af bruddet. Det må forudsættes, at bruddets varighed har en vis betydning for risikovurdering. F.eks. hvis en skoles PC ubeskyttet har stået til rådighed til et ukendt antal uautoriserede personer i en længere periode. 5. Risikoen for, at de registrerede kan identificeres Et af hovedelementerne i forordningen er muligheden for at identificere fysiske personer ud fra de givne persondata. Hvis personoplysningerne f.eks. er krypteret, er der en meget lille risiko for, at de registrerede kan identificeres og hermed også en lille risiko at kompromittering kan have alvorlige konsekvenser. 6. Konsekvenser bruddet kan have for de registrerede Konsekvenser relateres direkte til ovenstående definition af risikoen for fysiske personers rettigheder og frihedsrettigheder. Derudover vil kompromittering af oplysninger om sårbare, udsatte personer eller børn altid kunne vurderes at have større skadevirkning. 2

7. Hvorvidt bruddet omfatter særlige registrerede Udover sårbare, udsatte personer eller børn kan det være andre persongrupper, hvis personoplysninger relateres til særlige omstændigheder. Det kan være personer under vidnebeskyttelse, offentlig kendte personer eller personer med særlige stillinger (domstole, militæret, politiet mm.) 8. Antallet af berørte fysiske personer Normalt vil antallet af berørte fysiske personer have en betydning for risikovurderingen: Jo flere berørte personer, desto større skade og desto sværere bliver det at rydde op efterfølgende. Det formindsker dog ikke alvorligheden ved kompromittering af oplysninger om én eller nogle få personer. Hvilke brud skal ikke anmeldes Datatilsynet? Hvis skolen vurderer, at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder og frihedsrettigheder, skal det ikke anmeldes Datatilsynet. Risikofri brud på persondatasikkerheden kan f.eks. skyldes de sikkerhedsforanstaltninger, som skolen har truffet, hurtig reaktion, eller de konkrete omstændigheder ved bruddet. I takt med, at forordningen implementeres i Danmark, forventes der også lidt mere præcis definition af anmeldelsespligten. Vi kan dog ikke forvente en eksplicit facitliste, og anmeldelsespligten vurderes fra sag til sag og i forhold til det samlede aktuelle risikobillede. På nuværende tidspunkt kan vi nævne nogle få eksempler, hvor bruddet på datasikkerheden ikke skal anmeldes Datatilsynet: En skoleleder har tabt et USB-stik med deltagernes data i. Hukommelsen er beskyttet med stærk kryptering. Her vurderes det, at der er usandsynligt, at nogen vil kunne dekryptere informationerne. En deltagerliste er ved en fejl sendt til DOF sekretariat. Skolen vurderer, at man har tillid til, at DOF ikke vil misbruge oplysningerne, og at mailen vil blive slettet. En underviser på skolen har ved en fejl modtaget deltagerinformationer fra et andet hold. Skolen vurderer, at det er tale om en intern sag, og at skolen har stor tillid til, at underviseren ikke vil misbruge informationerne. En medarbejder har ved en fejl offentliggjort deltagernes data på hjemmesiden. Det er sket om natten, og medarbejderen har hurtigt fjernet informationerne. Ved at kigge i logfiler kan man se, at der ikke var nogle besøgende på hjemmesiden på det tidspunkt, og at siden heller ikke er besøgt af Google eller andre søgemaskiner. Det vurderes, at det ikke er sandsynligt, at nogen har opdaget oplysningerne på hjemmesiden. 3

Skolens IT-systemer er nede i en periode pga. stormsvigt. Nedetiden har ingen konsekvenser for aftenskoles deltagere. Skolen sender ved en fejl en tilmeldingskvittering til en forkert deltager. Skolen bliver gjort opmærksom på fejlen og aftaler med modtageren, at mail slettes. Skolen har tillid til, at modtager vil slette mailen. Skolen skal sandsynligvis ikke anmelde hændelsen idet det vurderes, at bruddet ikke indebærer en risiko for den registrerede. Skolens bogfører sender ved en fejl en lønseddel til en forkert medarbejder. Skolen aftaler, at medarbejderen straks sletter lønsedlen. Da det er tale om internt brud på sikkerheden, og da skolen har tillid til medarbejderen, skal sagen ikke anmeldes Datatilsynet. Ved et uheld sletter en af skolens medarbejdere data om en eller flere deltagere. Der er ingen økonomisk udestående med disse deltagere, og det kan ikke have nogle negative økonomiske konsekvenser. Dataet på skolens server er blevet slettet pga. en systemfejl. Skolen har en backup som hurtigt indlæses. Skolen skal derfor ikke anmelde sagen. Hvornår skal bruddet anmeldes Datatilsynet? Som hovedregel skal et brud på persondatasikkerheden, som indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, anmeldes Datatilsynet uden unødig forsinkelse og senest 72 timer efter, skolen er blevet bekendt med bruddet. 72 timers frist skal helst overholdes, og her tages der ikke hensyn til weekender, ferier eller helligdage. Forordningen tillader dog, at bruddet også anmeldes efter udløbet af fristen, hvor anmeldelsen i så fald suppleres med en begrundelse for forsinkelsen. Hvor og hvordan anmeldes bruddet på persondatasikkerheden? I løbet af foråret 2018 vil der på virk.dk blive oprettet en digital løsning for anmeldelser af sikkerhedshændelser. Der vil blive tale om en elektronisk blanket, som udfyldes og godkendes. Hvilke informationer skal indgå i anmeldelsen? Vi kan forvente, at den kommende indberetningsform på virk.dk vil være struktureret således, at det står klart, hvilke informationer anmeldelsen skal indeholde. Pt. oplyser Datatilsynet, at anmeldelsen som minimum skal indeholde: Bruddets karakter, herunder kategorierne og antal berørte registrerede og registreringer. Navn og kontaktoplysninger, hvor yderligere oplysninger kan indhentes. Beskrivelse af sandsynlige konsekvenser af bruddet på persondatasikkerheden (se ovenfor). 4

Beskrivelse af de trufne foranstaltninger for håndtering af bruddet og evt. foranstaltninger for at minimere mulige skadevirkninger. Derudover er det også en god ide at udlevere yderligere informationer om bruddet for at skabe større forståelse og sikre, at forpligtelsen til at anmelde brud på persondatasikkerhed er overholdt. Hvem anmelder bruddet til Datatilsynet? Anmeldelse er skolens ansvar, og skolen bør udpege en eller flere personer, som bemyndiges til at anmelde eventuelle brud. Skolen kan også bemyndige skolens Databehandler og sørge for, at dette er nedskrevet i Databehandlingsaftalen. Det juridiske ansvar for rettidig anmeldelse forbliver dog hos skolen selv. Skal de registrerede informeres om bruddet? Når et brud indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal skolen også underrette de registrerede om bruddet uden unødig forsinkelse. Desværre har databeskyttelsesforordningen ikke en definition for høj risiko, og derfor må formuleringen alene hvile på skolens egen risikovurdering. Det siger sig selv, at jo mere alvorlige konsekvenser et brud kan medføre, desto større risiko vil være for de registrerede. Skolen må derfor selv vurdere, hvornår risikoen kan betragtes som høj. Et eksempel på høj risiko kunne være kompromittering af brugernes navne, mails og adgangskoder. Da mange mennesker genbruger adgangskoder til forskellige konti, er risikoen for alvorlige konsekvenser relativ høj. Derudover skal skolen nulstille adgangskoderne og forklare brugerne, hvorfor det sker. På den måde har brugerne også mulighed for selv at ændre deres adgangskoder andre steder. Et andet eksempel på høj risiko kunne være, hvis en skole i en periode har offentliggjort (f.eks. på hjemmesiden) deltagernes data inklusiv CPR-nr. Hvis der er en stor sandsynlighed for, at Google eller andre søgemaskiner har nået at indeksere hjemmesiden og herunder deltagernes personoplysninger, bør deltagerne informeres om hændelsen. Datatilsynet kan også selv pålægge skolen underretningspligt, hvis de vurderer, at et anmeldt brud indebærer en høj risiko. Selve underretning skal formuleres i klart og letforståeligt sprog og skal som minimum indeholde: Navn og kontaktoplysninger, hvor yderligere oplysninger kan indhentes. Beskrivelse af sandsynlige konsekvenser er bruddet på persondatasikkerheden. 5

Beskrivelse af de trufne foranstaltninger for håndtering af bruddet og evt. foranstaltninger for at minimere mulige skadevirkninger. Jf. lovforslaget til en ny databeskyttelseslov (L 68) kan kravet om underretning af brud på persondatasikkerheden til den registrerede suspenderes med hensyn til efterforskning af strafbare forhold, herunder forstyrrelser i driften af IT-systemer. Intern dokumentation Alle brud på persondatasikkerheden skal dokumenteres, uanset om skolen er forpligtet til at anmelde bruddet til Datatilsynet eller ej. Denne dokumentationspligt hænger sammen med persondataforordningens krav om ansvarlighed, og skolen har pligt til at udlevere dokumentation til Datatilsynet efter en evt. anmodning. Der stilles ikke specifikke formkrav til dokumentationen, men Datatilsynet anbefaler, at følgende punkter behandles: Brud på persondatasikkerheden hos [Skolenavn] Dato og tidspunkt for bruddet Hvad er der sket? Årsagen til bruddet? Hvilke (typer) personoplysninger er omfattet af bruddet? Hvilke konsekvenser har bruddet for de berørte personer? Hvilke afhjælpende foranstaltninger er truffet? Hvorvidt der er sket anmeldelse til Datatilsynet eller ej (hvis ja, hvornår)? Hvis nej, begrundelse for ikke at anmelde bruddet til Datatilsynet? Er der sket underretning af de berørte personer (hvis ja, hvornår)? Hvis nej, begrundelse for ikke at underrette de berørte personer? Beskrivelse af bruddet 6

Datatilsynets flowchart 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback