Låge nr. 3

Juleferie i sigte: Sikkerhedsbrud i ferieperioder

Anmeldte sikkerhedsbrud i ferieperioder

* Datagrundlaget for diagrammet er anmeldelser om brud på persondatasikkerheden fra uge 17 (2020) frem til uge 44 (2021). Årsagen til starttidspunktet er, at Datatilsynet fra uge 17 i 2020 begyndte at klassificere anmeldelserne i bestemte  hændelsestyper.

Juleferien nærmer sig, og snart hviler julefreden over land og by. Dagens kalenderlåge ser nærmere på sikkerhedsbrud i ferieperioder.

Der er tegn på en generel tendens til fald i anmeldte sikkerhedsbrud i ferieperioderne. Måske på grund af forsinkede anmeldelser – måske på grund af færre menneskelige fejl?

Datatilsynet fik i sommerperioden mellem 1. juni og 1. september 2021 over 50 anmeldelser om sikkerhedsbrud, hvor 'ferie' fremgik af anmeldelsen. I størstedelen af tilfældene var anmeldelsen forsinket på grund af ferie, f.eks. fordi DPO'en eller en anden central medarbejder var på ferie i perioden.

Datatilsynet ser også sager, hvori ferie kan spille en rolle, fordi en medarbejder har et indbrud i sit hjem under ferieafholdelsen, hvor en ikke-krypteret arbejdscomputer bliver stjålet.

5 gode råd

Husk at:

  1. Ferie IKKE er en undtagelsesgrund for kravet om, at sikkerhedsbrud skal anmeldes senest 72 timer til Datatilsynet, efter man er blevet bekendt med det.
  2. Udarbejde procedure for håndtering af sikkerhedsbrud, når DPO’en (databeskyttelsesrådgiveren) - eller andre centrale medarbejdere i håndteringen af sikkerhedsbrud - er taget på ferie.
  3. Få krypteret din arbejdscomputer og arbejdsmobil
  4. Etablere mulighed for at slette indhold af PC/mobiltelefon via fjernforbindelse og evt. sporing. Dette skal kombineres med viden hos den enkelte medarbejder og et kontaktpunkt, som gør det muligt at give besked, når en enhed mistes.
  5. Dataminimere: Etabler en teknisk opsætning, der minimerer mængden af data, som lagres lokalt på medarbejderes pc/mobiltelefon og automatisk sletter indhold i ”papirkurven”. 
Dato: 03-12-2021