De 10 brud

10 typiske brud på persondatasikkerheden og gode råd til, hvordan de undgås

 

Offentliggjort 08.01.2024

På baggrund af anmeldte brud på persondatasikkerheden har Datatilsynet identificeret 10 typiske brud. Her får du en række gode råd til, hvordan de kan undgås.

Brud på persondatasikkerheden er ofte hændelser, hvor der enten hændeligt (noget sker utilsigtet eller ved en tilfældighed) eller tilsigtet (typisk ved hacking eller misbrug) sker noget med personoplysninger, som kan påvirke oplysningernes fortrolighed, f.eks. ved at data bliver tilgængelige for uvedkommende. Det kan også være hændelser, som kan medføre, at oplysningerne bliver utilgængelige for den dataansvarlige (tab af tilgængelighed), eller at oplysningerne ændres, så de er forkerte (tab af integritet).



For hvert af de typiske brud beskrives en række konkrete tiltag, der kan overvejes for at nedbringe risikoen for, at det pågældende brud indtræder. Disse forslag er derfor især målrettet medarbejdere, der har mulighed for at udfærdige og/eller ændre på organisationens regler, procedurer, undervisning/awareness og tekniske opsætninger i it-miljøer for derigennem at beskytte organisationen imod disse typiske brud på persondatasikkerheden.

Ofte er det små tiltag, som skal til for at mindske risikoen for brud, og dermed ikke tiltag der kræver store investeringer, eller at den øverste ledelse nødvendigvis involveres. Hvis tiltag alligevel kræver, at den øverste ledelse involveres, kan disse råd være med til at illustrere hvorfor det er nødvendigt eksempelvis at investere i eller på anden vis prioritere it-sikkerhed.

Dataansvarlige og databehandlere skal gennemføre passende sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene ved behandlingen af personoplysninger. Det følger af databeskyttelsesforordningens artikel 32.

Bestemmelsen fastsætter ikke, hvilke præcise sikkerhedsforanstaltninger der skal træffes. Bestemmelsen fastslår imidlertid, at dataansvarlige og databehandlere er ansvarlige for at beskytte personoplysninger mod, at der sker brud på persondatasikkerheden. Det skyldes, at det kan påføre de berørte personer skade, hvis oplysningernes fortrolighed, tilgængelighed eller integritet kompromitteres.

Dataansvarlige og databehandlere skal derfor afdække de risici, som behandlingen af personoplysninger indebærer for de berørte personer – de skal med andre ord lave en såkaldt risikovurdering. Her er det væsentligt at understrege, at der ikke er tale om risikoen for organisationens omsætning/indtjening, men om risikoen for de berørte personer, dvs. dem der behandles oplysninger om. På den baggrund skal dataansvarlige og databehandlere udvælge og fastsætte de sikkerhedsforanstaltninger, der i tilstrækkelig grad beskytter personoplysningerne.

Det indebærer, at hvad der er passende sikkerhedsforanstaltninger for én dataansvarlig/én databehandler, ikke nødvendigvis er passende sikkerhedsforanstaltninger for en anden.

Det betyder også, at de sikkerhedsforanstaltninger, der fremgår af denne samling af forslag ikke er udtømmende, ligesom ikke alle forslag vil være relevante eller tilstrækkelige for alle situationer, hvor organisationen behandler personoplysninger. Generelt kan det dog siges, at kravene til behandlingssikkerhed – og dermed også til sikkerhedsforanstaltninger – skærpes, jo højere risikoen er for de personer, hvis oplysninger organisationen har ansvaret for.

Hvis der sker brud på behandlingssikkerheden selvom organisationen har gennemført sikkerhedsforanstaltninger, skal dataansvarlige og databehandlere på ny vurdere, om der er behov for at tilpasse og eventuelt skærpe sikkerhedsforanstaltningerne for at undgå lignende brud i fremtiden.

Sikkerhedsforanstaltningerne kan både være af teknisk og organisatorisk karakter, og i mange tilfælde er det relevant med begge dele.

Sikkerhedsbrud skyldes ofte menneskelige fejl. Derfor er det vigtigt, at alle medarbejdere forstår, hvordan de skal behandle personoplysninger. Det kan f.eks. ske ved at fastsætte retningslinjer og procedurer for håndtering af personoplysninger. Det gælder bl.a. i forhold til sikker intern og ekstern kommunikation, da størstedelen af de anmeldte brud angår utilsigtet deling af personoplysninger med forkerte modtagere. Den slags retningslinjer og procedurer skal løbende opdateres, ligesom det skal sikres, at medarbejderne rent faktisk har kendskab til dem. Det kan I som organisation f.eks. sikre ved at gennemføre uddannelse og awareness-kampagner for medarbejdere.

Retningslinjer og procedurer kan imidlertid blive misforstået, glemt eller ignoreret, og derfor kan det være nødvendigt også at gennemføre tekniske sikkerhedsforanstaltninger, som automatisk kan beskytte imod utilsigtet eller ulovlig behandling af personoplysninger. Hvis der findes en teknisk foranstaltning, som er let og uden stor omkostning kan implementeres, og som samtidigt yder en høj grad af beskyttelse mod et ofte forekommende risikoscenarie, så kan det følge af princippet om ’privacy by design’ at sådan foranstaltning bør implementeres som supplement til eller i stedet for en organisatorisk foranstaltning.

Du kan finde beskrivelser af flere relevante sikkerhedsforanstaltninger i Datatilsynets foranstaltningskatalog, som løbende bliver udvidet.