Persondata og sikkerhedsbrud

Relaterede dokumenter
Persondata Behandlingssikkerhed. v/rami Chr. Sørensen

Retningslinjer om brud på persondata

Derudover må personoplysninger i fysiske mapper kun tilgås af personer, der har et formål med at kunne tilgå de pågældende personoplysninger.

Overblik over persondataforordningen

Retningslinjer om brud på persondatasikkerheden

Bilag 8. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

Beredskabsplan for Kolding HF & VUC

Beredskabsplan for Aarhus HF og VUC ved brud på datasikkerheden

Brud på datasikkerheden

Retningslinje om brud på persondatasikkerhed Skanderborg Gymnasium ANVENDELSESOMRÅDE... 2 FORMÅL... 2 DEFINITIONER... 2

Retningslinjer om brud på persondatasikkerheden

Formål. Definitioner. ø Retningslinjer om brud på datasikkerheden Anvendelsesområde

Midtfyns. Gymnasium. Retningslinje om brud på persondatasikkerheden. Anvendelsesområde. Formål. Definitioner

Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger

R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R

BILAG 5 DATABEHANDLERAFTALE

Databrudspolitik i Luthersk Mission

Informationsproces når persondata er blevet kompromitteret

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Brud på persondatasikkerheden

CC GROUP DENMARK Databehandleraftale Kunde Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag A Databehandleraftale pr

Behandling af personoplysninger

At alle medarbejdere i Center for selvejende Dagtilbud (CSD) har pligt til at anmelde persondatabrud.

DATABEHANDLERAFTALE. General aftale omkring behandling af persondata. Udarbejdet af: ZISPA ApS

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter. Denne fortegnelse indeholder:

Procedure for sikkerhedsbrud

Bilag B Databehandleraftale pr

Den nye persondataforordning. 2. februar 2017

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Overblik over persondataforordningen

Jeres virksomhed ( Kunden ); og Digital-servicebook.com, Vordingborgvej 79, 4700 Næstved DK ( Leverandøren )

Retningslinje: Sådan håndterer du brud på persondatasikkerheden

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

Rollen som DPO. September 2016

Curanet A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Aftalen foreligger mellem kunden (i det følgende betegnet Dataansvarlig )

Surftown A/S. Regionsgolf-Danmark DATABEHANDLERAFTALE. Databehandleraftalen foreligger mellem. Regionsgolf-Danmark.

Aftale omkring behandling af persondata.

DanDomain A/S Databehandleraftale. Version: (herefter samlet benævnt "Parterne" og hver for sig "Part")

Bilag 11 - Databehandleraftale

Databehandleraftale. Mellem. Den dataansvarlige. Databehandleren. ErhvervsHjemmesider.dk ApS CVR Haslegårdsvej 8.

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

BILAG 14: DATABEHANDLERAFTALE

Databeskyttelsesdagen

Databehandleraftale INDHOLDSFORTEGNELSE

PERSONDATAPOLITIK 1. INTRODUKTION

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Databehandleraftale

D A T A B E H A N D L E R A F T A L E

Persondata politik for GHP Gildhøj Privathospital

Persondatapolitik for Aabenraa Statsskole

DATABEHANDLERAFTALE. Omsorgsbemanding

Persondatapolitik Vordingborg Gymnasium & HF

DATABEHANDLERAFTALE

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

Databehandleraftale mellem. Heyloyalty ApS Jens Baggesens Vej Aarhus N Cvr: (i det følgende HL eller databehandleren)

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik for Tørring Gymnasium 2018

Databehandleraftale (v.1.1)

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Persondataforordningen

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Bilag 1 Databehandler aftale (v.1.2)

Den nye persondataforordning. 17. maj 2016

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Oplysning om vores behandling af dine personoplysninger m.v.

Databehandleraftale. Mellem. Den dataansvarlige: Landbrugsstyrelsen CVR Nyropsgade København V. Danmark. Databehandleren.

Databehandleraftale. Mellem. Brugere af software fra Datalogisk. Den dataansvarlige: Databehandleren: Datalogisk A/S CVR Stubbekøbingvej 41

Persondatapolitik på Gentofte Studenterkursus

Introduktion til persondataforordning

Databehandleraftaler. Ved partner Thomas Munk Rasmussen, Bech-Bruun

Aftale vedrørende fælles dataansvar

3 Omfattede typer af personoplysninger og kategorier af registrerede

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

! Databehandleraftale

Standardvilkår. Databehandleraftale

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Databehandleraftale. Mellem. Den dataansvarlige: [Navn] CVR [CVR-nummer] [Adresse] [Postnummer og by] [Land] Databehandleren.

Databehandleraftale. Mellem. Den dataansvarlige: Navn, adresse og cvr: Databehandleren. Pronavic Business Systems ApS CVR

Indholdsfortegnelse Fortroligheds- og beskyttelsespolitik... 3

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

Databehandleraftale. Mellem. Dataansvarlig: Kunden

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Bilag 6 Databehandleraftale v.1.1

DATABEHANDLERAFTALE Databehandleren skal overholde Persondataloven og Persondataforordningen, samt heraf afledt national lovgivning.

WinWinWeb Databehandleraftale. Databehandleraftale. Mellem. Den Dataansvarlige: Kunden. Databehandleren: WinWinWeb CVR:

Databehandleraftale. Mellem. Den dataansvarlige: Databehandleren. Ribe Mediehus CVR Industrivej Ribe. Danmark

Persondataforordning din dig din

Persondatapolitik for Odense Katedralskole

Data Protection Officer (DPO): DPO-krav og outsourcing af DPO-rollen

Anmeldelser per måned

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

PERSONDATAKONFERENCEN - FORORDNINGENS DOKUMENTATIONSKRAV. Advokat Pia Kirstine Voldmester

Transkript:

1 Persondata og sikkerhedsbrud Tirsdag den 10. maj 2016 2 Hvad er et sikkerhedsbrud? Brud på persondatasikkerheden": Brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet udbredelse af eller adgang til personoplysninger, der er videregivet, lagret eller på anden måde behandlet Eksempler 1

3 Nuværende praksis Persondatalovens 5 Udgangspunkt: Ingen pligt til underretning Krav om underretning i IT- og telebranchen I forbindelse med sikkerhedsbrud forventes det, at den dataansvarlige tager skridt til: At data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere At data slettes fra internettet herunder fra søgemaskiner Hurtig underretning af berørte personer At det langsigtet sikres, at situationen ikke gentager sig, fx ved at interne retningslinjer og forretningsgange kigges efter, ved bedre instruktion af medarbejdere og ved teknisk understøttelse af relevante forretningsgange i organisationen 4 Forordningens krav til underretning (artikel 33) Samme regler for offentlige og private dataansvarlige Underretning til tilsynsmyndighed uden unødig forsinkelse og senest 72 timer efter at den dataansvarlige er blevet bekendt med, at der er sket brud på persondatasikkerheden Undtagelse: Det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder Modifikation: Underretning senere end 72 timer skal ledsages af en begrundelse Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden 2

5 Underretning til tilsynsmyndighed skal indeholde: Oplysninger om karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger Kontaktoplysninger til kontaktpunkt evt. databeskyttelsesrådgiver Oplysninger om de sandsynlige konsekvenser af sikkerhedsbruddet Beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger Hvis det ikke er muligt at give oplysningerne samtidig, kan oplysningerne gives trinvist uden unødig yderligere forsinkelse 6 Dokumentation for brud på persondatasikkerheden Den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger Dokumentationen skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at den dataansvarlige har iagttaget forordningen i forbindelse med et sikkerhedsbrud 3

7 Underretning til berørte registrerede (artikel 34) Ud over meddelelse til tilsynsmyndighed skal berørte registrerede ligeledes underrettes, hvis bruddet sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder Underretning til berørte registrerede skal indeholde: Kontaktoplysninger til dataansvarlig eller dennes databeskyttelsesrådgiver Sandsynlige konsekvenser af bruddet En beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at afhjælpe sikkerhedsbruddet eller begrænse skaden 8 Underretning til berørte registrerede (artikel 34) Undtagelserne til kravet om underretning til berørte registrerede: Den dataansvarlige har gennemført passende tekniske og organisatoriske foranstaltninger, der gør oplysningerne uforståelige og dermed ubrugelige for udenforstående fx kryptering Der er truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder ikke længere er reel Det vil kræve en uforholdsmæssig indsats at underrette individuelt her kan en offentlig meddelelse eller tilsvarende foranstaltning anvendes Modifikation: Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden kræve, at den dataansvarlige gør det 4

9 Beredskabsudvalg og beredskabsplan Vigtigt at få defineret og formuleret organisationens persondatasikkerhedsberedskab Et led i opfyldelse af accountability-kravet Risikostyring Intern awareness 10 Hvilke forhold skal overvejes, inden man laver en beredskabsplan? Kan man indrette sig på en sådan måde, at sikkerhedsbrud ikke medfører en sandsynlig risiko for fysiske personers rettigheder og frihedsrettigheder? Kryptering, data minimering Hvilke typer oplysninger behandles? Hvor mange personer behandles der oplysninger om? Hvilke sikkerhedsbrud er mest sandsynlige organisationens natur taget i betragtning? Hvilke underretningsprocedurer er mest hensigtsmæssige? Paradigmer? Identifikation af eventuelle eksterne rådgivere/aktører? 5

11 Hvordan lægger man en god beredskabsplan? Hvis din organisation allerede nu har en god beredskabsplan, vil en forordningskonform plan kun kræve få rettelser hvis nogen overhovedet forordningens minimumskrav skal implementeres i planen Herudover er det en god idé at fastlægge procedurer for, hvordan organisationen hurtigst muligt i forbindelse med sikkerhedsbrud afklarer forhold om: Hvem skal gøre hvad? Sikkerhedsbruddets karakter og omfang Udarbejdelse af dokumentation af bruddet og efterfølgende foranstaltninger Hvad kan forberedes på forhånd? Hvem/hvad skal indgå i et beredskabsudvalg internt og eksternt? Nedskrevne overvejelser om konsekvenserne af sikkerhedsbrud vedrørende organisationens forskellige typer af personoplysninger Procedure for underretning af berørte (breve, e-mails eller opslag på hjemmeside?) 12 Hvad skal en beredskabsplan som minimum indeholde? Når ovenstående er overvejet og kortlagt, skal der laves et dokument, der som minimum indeholder information om: Beskrivelser og kontaktinfo på interne personer i beredskabsudvalg Eventuelle beskrivelser og kontaktinfo på eksterne personer i beredskabsudvalg En handlingsplan 6

13 Hvem har ansvar for henholdsvis udfærdigelsen af en beredskabsplan og håndtering af sikkerhedsbruddet? Der er ikke i forordningen fastsat krav om, at andre end den dataansvarlige skal udfærdige en beredskabsplan eller håndtere sikkerhedsbrud Det er oplagt, at en databeskyttelsesrådgiver i lyset af databeskyttelsesrådgiverens øvrige opgaver skal inddrages i både udfærdigelsen af beredskabsplan og håndtering af sikkerhedsbrud bl.a. som kontaktpunkt 14 Spred budskabet! Alle medlemmer af beredskabsudvalget skal kende deres rolle Det er vigtig, at alle medarbejdere i organisationen er bekendte med beredskabsplanen Intern uddannelse og awareness er en vigtig opgave fx for en databeskyttelsesrådgiver 7

15 Eksempel på intern håndteringen i praksis 1. Organisationen bliver bekendt med datasikkerhedsbruddet 2. Bredskabsgruppen orienteres ansvarlig/kontaktperson udpeges 3. Relevante eksterne rådgivere inddrages fx presserådgivere, it-sikkerhedsrådgivere, advokater. 4. Specifik handlingsplan udarbejdes er der huller, der skal lukkes her og nu? 5. Orientering til tilsynsmyndighed og evt. berørte 6. Orientering af andre fx dataansvarlig/kunde, offentlige myndigheder, pressen 7. Håndtering af henvendelser fra eksterne 8. Udarbejdelse af dokumentation for sikkerhedsbruddet 9. Opfølgning og evaluering skal systemer, procedurer mv. ændres? Skal der strammes op overfor databehandlere mv.? 16 Spørgsmål? 8

17 Kontakt Thomas Munk Rasmussen Susanne Stougaard Partner København Advokat København IP & Technology IP & Technology T +45 72 27 33 55 M +45 25 26 33 55 E tmr@bechbruun.com T +45 72 27 33 08 M +45 25 26 33 08 E sus@bechbruun.com København Danmark Aarhus Danmark Shanghai Kina T +45 72 27 00 00 www.bechbruun.com 9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback