Anmeld sikkerhedsbrud

Er du selv dataansvarlig, kan du anmelde brud på persondatasikkerheden til Datatilsynet.

Anmeld persondatasikkerhedsbrud

Anmeldelser vedr. AK Techotel

Datatilsynet er blevet bekendt med, at der er sket et brud på persondatasikkerheden hos virksomheden AK Techotel i sidste uge. Det er aftalt med databehandleren, at de anmelder sikkerhedsbruddet på vegne af alle de dataansvarlige, der er berørt af sikkerhedsbruddet. De enkelte dataansvarlige skal således ikke selv sende en anmeldelse af det pågældende sikkerhedsbrud. 

Hvad gør Datatilsynet med de anmeldte brud på persondatasikkerheden?

Datatilsynet modtager hver måned et sted mellem 600 og 800 anmeldelser af brud på persondatasikkerheden fra virksomheder og offentlige myndigheder.

Sager der afsluttes på grundlag af anmeldelsen

Datatilsynet foretager løbende en indledende vurdering af alle anmeldte brud på persondatasikkerheden. En række af sagerne vil blive afsluttet på baggrund af selve anmeldelsen. Ved vurderingen af, om sagerne kan afsluttes på det foreliggende grundlag, er det først og fremmest afgørende, om hændelserne er tilstrækkeligt belyst, eller om anmeldelserne fremstår som mangelfulde. Ved vurderingen heraf lægges der endvidere vægt på bl.a. hændelsens karakter og omfang, typerne af de omfattede personoplysninger, den dataansvarliges og evt. databehandlernes trufne foranstaltninger – både før og efter hændelsen – samt hvorvidt de påvirkede personer er blevet underrettet.

Hvis sagen afsluttes uden yderligere høringer, modtager den dataansvarlige et afsluttende brev, der mere eller mindre er standardiseret, hvorefter sagen lukkes. Standardbrevet kan dog tilpasses afhængig af den konkrete hændelse, for eksempel med vejledning om, hvornår og hvordan man som dataansvarlig skal underrette de berørte registrerede om hændelsen.

For anmeldelser indgivet før 1. februar 2020 vil man som dataansvarlig ikke nødvendigvis have modtaget et afsluttende brev i forbindelse med, at sagen er blevet lukket hos Datatilsynet. Hvis man som dataansvarlig har spørgsmål til status for sikkerhedsbrud anmeldt før 1. februar 2020, er man velkommen til at rette henvendelse til Datatilsynet.

Sager der afsluttes efter yderligere høring

En række sager om anmeldelser af brud på persondatasikkerheden kan imidlertid ikke afsluttes i direkte forlængelse af selve anmeldelsen. Udover sager, som er utilstrækkeligt oplyst, kan det f.eks. være brud af en sådan (alvorlig) karakter, at Datatilsynet f.eks. vil iværksætte yderligere høringer af den dataansvarlige.

Hvis mange dataansvarlige har anmeldt sikkerhedsbrud vedrørende den samme hændelse hos en databehandler, kan Datatilsynet også vælge at starte en sag af egen drift over for databehandleren. Det kan også ske, at en sag startes af egen drift på baggrund af mange sammenlignelige anmeldelser fra den samme dataansvarlige over en længere periode.

Når en sag vedrørende et brud på persondatasikkerheden – via høring af den dataansvarlige og evt. databehandlere – er blevet tilstrækkeligt oplyst, afsluttes sagen med en afgørelse. Hvis Datatilsynet i den forbindelse vurderer, at der er sket en overtrædelse af de databeskyttelsesretlige regler, udtaler tilsynet kritik eller alvorlig kritik i selve afgørelsen. Tilsynet vil også kunne meddele påbud om, at den dataansvarlige eller databehandleren skal iværksætte særlige foranstaltninger. I sager hvor Datatilsynet vurderer, at overtrædelsen er særlig alvorlig, kan tilsynet også vælge at anmelde forholdet til politiet, som herefter behandler sagen.

På Virk.dk finder du den elektroniske blanket, hvor de relevante felter for indberetning til Datatilsynet er krydset af. Du kan derfor på forhånd se hvilke spørgsmål du vil blive stillet, når du indberetter.

Spørgsmålene i blanketten tager højde for databeskyttelsesforordningens minimumskrav til, hvad en anmeldelse til Datatilsynet skal indeholde.

Du vil derfor blive bedt om at:

  • Beskrive karakteren af bruddet på persondatasikkerheden mv.
  • Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Beskrive de foranstaltninger, som du har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

Når du udfylder blanketten vil du kunne finde korte hjælpetekster til en del af spørgsmålene.

De oplysninger, som anmeldelsen som minimum skal indeholde, skal bidrage til, at Datatilsynet får mulighed for at følge og vurdere, at håndteringen af bruddet på persondatasikkerheden hos dig sker på en hensigtsmæssig måde. Datatilsynet kan også anvende oplysningerne i forbindelse med vurderingen af, hvorvidt der er behov for, at tilsynet træffer en afgørelse i forhold til spørgsmålet om underretning af de registrerede, hvis dette endnu ikke er sket, eller hvis Datatilsynet overvejer at gøre brug af sine korrigerende beføjelser til midlertidigt eller definitivt at begrænse, herunder forbyde en behandling.

Der er tale om en ikke udtømmende liste over indholdet af informationer, og opregningen ovenfor udelukker dermed ikke, at du kommer med yderligere informationer for at sikre, at forpligtelsen til at anmelde brud på persondatasikkerheden er overholdt.  

Du må altså gerne forsyne Datatilsynet med eventuelle andre yderligere informationer, hvis dette vurderes formålstjenligt - ligesom tilsynet naturligvis også vil kunne kræve yderligere oplysninger af dig efterfølgende, hvis vi vurderer det nødvendigt i forbindelse med behandlingen af anmeldelsen. Hvis du skal forklare (og Datatilsynet skal forstå) omstændighederne omkring et brud ordentligt, kan det således være nødvendigt med yderligere informationer.

Du skal være opmærksom på, at det er muligt at indberette til flere myndigheder på én gang. Du vil derfor indledningsvist blive stillet nogle spørgsmål, der skal afklare, hvad sikkerhedshændelsen handler om, og hvilken myndighed indberetningen skal sendes til. Blanketten er dynamisk, så alt efter hvilke felter du udfylder, skal du svare på supplerende spørgsmål.

OBS: Husk, at du ikke skal indsætte eller skrive personoplysninger om de berørte personer i blanketten, ud over dem der eksplicit bliver spurgt til, f.eks. dit navn og kontaktinformation.

Du kan læse mere om emnet i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.

Når du har udfyldt blanketten på Virk.dk vil den blive sendt til Erhvervsstyrelsen. Herefter vil den automatisk blive sendt videre til de relevante myndigheder.

Har du anmeldt et brud på persondatasikkerheden vil din anmeldelse derfor automatisk blive sendt til Datatilsynet. Hvis det bliver aktuelt, vil du efterfølgende blive kontaktet af os.

Husk at downloade en kopi af blanketten, når du har sendt den. Alle anmeldelser slettes i Erhvervsstyrelsens systemer efter 30 dage. Din downloadede kopi er derfor dit bevis på, at du har foretaget en indberetning.

For at gøre det nemt og enkelt for virksomheder og myndigheder at indberette sikkerhedshændelser på databeskyttelsesområdet og en række andre områder, er der på Virk.dk etableret én fælles digital løsning for anmeldelser af sikkerhedshændelser.

Initiativet skal understøtte, at virksomhederne og myndighederne kun skal indberette hændelser én gang, ét sted frem for at skulle indberette stort set samme information flere steder.  

Indberetningsløsningen kan håndtere forskellige myndigheders krav til information og gennem de spørgsmål, der stilles i en elektronisk blanket, kanaliserer den indberetningerne hen til den eller de rette myndighed(er). 

 

Mine oplysninger er kommet i de forkerte hænder

Denne side henvender sig til dataansvarlige, som skal anmelde til Datatilsynet, hvis de selv har haft et brud på persondatasikkerheden. Hvis du har fundet ud af, at dine oplysninger er omfattet af sådan et brud, kan du her læse om, hvordan du skal forholde dig.

Hvornår skal jeg anmelde?

Den dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer foretage anmeldelse af bruddet til Datatilsynet via Virk.dk, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Spørgsmål om anmeldelse?

Skal du anmelde et brud på persondatasikkerheden og har brug for hjælp specifikt til udfyldelse af blanketten på virk.dk, kan du ringe til Datatilsynet på tlf. 61 63 04 44. Telefonen er åben mandag til torsdag kl. 10-12 og 13-15 - og fredag kl. 10-12.