1 Persondata og sikkerhedsbrud Tirsdag den 10. maj 2016 2 Hvad er et sikkerhedsbrud? Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Eksempler 1
3 Nuværende praksis Persondatalovens 5 Udgangspunkt: Ingen pligt til underretning Krav om underretning i IT- og telebranchen I forbindelse med sikkerhedsbrud forventes det, at den dataansvarlige tager skridt til: At data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere At data slettes fra internettet herunder fra søgemaskiner Hurtig underretning af berørte personer At det langsigtet sikres, at situationen ikke gentager sig, fx ved at interne retningslinjer og forretningsgange kigges efter, ved bedre instruktion af medarbejdere og ved teknisk understøttelse af relevante forretningsgange i organisationen 4 Forordningens krav til underretning (artikel 33) Samme regler for offentlige og private dataansvarlige Underretning til tilsynsmyndighed uden unødig forsinkelse og senest 72 timer efter at den dataansvarlige er blevet bekendt med, at der er sket brud på persondatasikkerheden Undtagelse: Det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder Modifikation: Underretning senere end 72 timer skal ledsages af en begrundelse Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden 2
5 Underretning til tilsynsmyndighed skal indeholde: Oplysninger om karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger Kontaktoplysninger til kontaktpunkt evt. databeskyttelsesrådgiver Oplysninger om de sandsynlige konsekvenser af sikkerhedsbruddet Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger Hvis det ikke er muligt at give oplysningerne samtidig, kan oplysningerne gives trinvist uden unødig yderligere forsinkelse 6 Dokumentation for brud på persondatasikkerheden Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger Dokumentationen skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at den dataansvarlige har iagttaget forordningen i forbindelse med et sikkerhedsbrud 3
7 Underretning til berørte registrerede (artikel 34) Ud over meddelelse til tilsynsmyndighed skal berørte registrerede ligeledes underrettes, hvis bruddet sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder Underretning til berørte registrerede skal indeholde: Kontaktoplysninger til dataansvarlig eller dennes databeskyttelsesrådgiver Sandsynlige konsekvenser af bruddet En beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at afhjælpe sikkerhedsbruddet eller begrænse skaden 8 Underretning til berørte registrerede (artikel 34) Undtagelserne til kravet om underretning til berørte registrerede: Den dataansvarlige har gennemført passende tekniske og organisatoriske foranstaltninger, der gør oplysningerne uforståelige og dermed ubrugelige for udenforstående fx kryptering Der er truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder ikke længere er reel Det vil kræve en uforholdsmæssig indsats at underrette individuelt her kan en offentlig meddelelse eller tilsvarende foranstaltning anvendes Modifikation: Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden kræve, at den dataansvarlige gør det 4
9 Beredskabsudvalg og beredskabsplan Vigtigt at få defineret og formuleret organisationens persondatasikkerhedsberedskab Et led i opfyldelse af accountability-kravet Risikostyring Intern awareness 10 Hvilke forhold skal overvejes, inden man laver en beredskabsplan? Kan man indrette sig på en sådan måde, at sikkerhedsbrud ikke medfører en sandsynlig risiko for fysiske personers rettigheder og frihedsrettigheder? Kryptering, data minimering Hvilke typer oplysninger behandles? Hvor mange personer behandles der oplysninger om? Hvilke sikkerhedsbrud er mest sandsynlige organisationens natur taget i betragtning? Hvilke underretningsprocedurer er mest hensigtsmæssige? Paradigmer? Identifikation af eventuelle eksterne rådgivere/aktører? 5
11 Hvordan lægger man en god beredskabsplan? Hvis din organisation allerede nu har en god beredskabsplan, vil en forordningskonform plan kun kræve få rettelser hvis nogen overhovedet forordningens minimumskrav skal implementeres i planen Herudover er det en god idé at fastlægge procedurer for, hvordan organisationen hurtigst muligt i forbindelse med sikkerhedsbrud afklarer forhold om: Hvem skal gøre hvad? Sikkerhedsbruddets karakter og omfang Udarbejdelse af dokumentation af bruddet og efterfølgende foranstaltninger Hvad kan forberedes på forhånd? Hvem/hvad skal indgå i et beredskabsudvalg internt og eksternt? Nedskrevne overvejelser om konsekvenserne af sikkerhedsbrud vedrørende organisationens forskellige typer af personoplysninger Procedure for underretning af berørte (breve, e-mails eller opslag på hjemmeside?) 12 Hvad skal en beredskabsplan som minimum indeholde? Når ovenstående er overvejet og kortlagt, skal der laves et dokument, der som minimum indeholder information om: Beskrivelser og kontaktinfo på interne personer i beredskabsudvalg Eventuelle beskrivelser og kontaktinfo på eksterne personer i beredskabsudvalg En handlingsplan 6
13 Hvem har ansvar for henholdsvis udfærdigelsen af en beredskabsplan og håndtering af sikkerhedsbruddet? Der er ikke i forordningen fastsat krav om, at andre end den dataansvarlige skal udfærdige en beredskabsplan eller håndtere sikkerhedsbrud Det er oplagt, at en databeskyttelsesrådgiver i lyset af databeskyttelsesrådgiverens øvrige opgaver skal inddrages i både udfærdigelsen af beredskabsplan og håndtering af sikkerhedsbrud bl.a. som kontaktpunkt 14 Spred budskabet! Alle medlemmer af beredskabsudvalget skal kende deres rolle Det er vigtig, at alle medarbejdere i organisationen er bekendte med beredskabsplanen Intern uddannelse og awareness er en vigtig opgave fx for en databeskyttelsesrådgiver 7
15 Eksempel på intern håndteringen i praksis 1. Organisationen bliver bekendt med datasikkerhedsbruddet 2. Bredskabsgruppen orienteres ansvarlig/kontaktperson udpeges 3. Relevante eksterne rådgivere inddrages fx presserådgivere, it-sikkerhedsrådgivere, advokater. 4. Specifik handlingsplan udarbejdes er der huller, der skal lukkes her og nu? 5. Orientering til tilsynsmyndighed og evt. berørte 6. Orientering af andre fx dataansvarlig/kunde, offentlige myndigheder, pressen 7. Håndtering af henvendelser fra eksterne 8. Udarbejdelse af dokumentation for sikkerhedsbruddet 9. Opfølgning og evaluering skal systemer, procedurer mv. ændres? Skal der strammes op overfor databehandlere mv.? 16 Spørgsmål? 8
17 Kontakt Thomas Munk Rasmussen Susanne Stougaard Partner København Advokat København IP & Technology IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com T +45 72 27 33 08 M +45 25 26 33 08 E sus@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 9