I tilfælde af brud på persondatasikkerheden

Udbyder din virksomhed en offentlig, elektronisk kommunikationstjeneste? Læs her, hvad du skal være særligt opmærksom på i tilfælde af et brud på persondatasikkerheden, der vedrører udbuddet af tjenesten.

  • Opdateret 8. juli 2022

Tjekliste: 4 vigtige opgaver

Det er vigtigt, at I stopper bruddet som det første.

Hvis der er tale om en manuel fejl, fx at en medarbejder sender en mail til den forkerte modtager, kan det være simpelt at stoppe bruddet. Her kan I kontakte den forkerte modtager og bede vedkommende om at slette mailen.  

Systemfejl kan derimod ofte kræve mere indgribende tiltag og evt. efterfølgende større ændringer i de berørte systemer. Disse brud kan fx være et resultat af mangelfuld test af ny software. 

Et brud kan også opstå ved udefrakommende hackerangreb. Find mere information om, hvordan I beskytter jer mod IT-sikkerhedsbrud, fx ransomware, phishing eller DDoS-angreb, på sikkerdigital.dk.

Som udbyder af en offentlig elektronisk kommunikationstjeneste, skal I indberette sikkerhedsbrud til Erhvervsstyrelsen. Det skal I gøre senest 24 timer efter, at bruddet er konstateret.

Bruddet kan indberettes gennem vores indberetningsløsning på Virk.

Hvis I ikke har afklaret omstændighederne vedrørende bruddet, fx hvad der forårsagede bruddet eller antallet af berørte, kan I sende en foreløbig indberetning. Den foreløbige indberetning skal indberettes senest 24 efter bruddet er konstateret. Den opfølgende indberetning skal herefter sendes hurtigst muligt og senest 72 timer efter den første indberetning. 

Der gælder ingen bagatelgrænse for, hvilke brud der skal indberettes på dette område. Alle hændelser, hvor der er påvist et brud på persondatasikkerheden i forbindelse med udbuddet af en elektroniske kommunikationstjeneste, skal derfor indberettes til Erhvervsstyrelsen. 

I skal uden unødig forsinkelse underrette de personer, hvis personoplysninger eller privatlivets fred kan forventes at blive krænket i forbindelse med et brud på persondatassikkerheden. Ved vurderingen af, om det er tilfældet, skal I bl.a. tage hensyn til følgende forhold: 

Karakteren og indholdet af de pågældende personoplysninger  

Vedrører bruddet fx:

  • Følsomme personoplysninger, såsom race eller etnicitet, politisk, religiøs eller filosofisk overbevisning, helbredsoplysninger eller oplysninger om seksuelle forhold eller orientering mv. 
  • Finansielle oplysninger  
  • Lokaliseringsdata 
  • Internetlogfiler, browserhistorik eller e-maildata 
  • Specificerede opkaldslister 

De sandsynlige følger af bruddet

Kan bruddet medføre fx: 

  • Identitetstyveri eller svig 
  • Fysisk eller psykisk skade  
  • Skade af omdømme 

Omstændighederne ved bruddet

Er oplysningerne fx blevet stjålet eller kommet i en uautoriseret tredjemands besiddelse? 

Som udbyder af en offentlig elektronisk kommunikationstjeneste er I forpligtet til løbende at træffe passende tekniske og organisatoriske foranstaltninger med henblik på at beskytte de personoplysninger, som I er i besiddelse af. 

Det er altså vigtigt løbende at genbesøge risikobilledet for persondatasikkerheden. Det kan fx ske en gang om året. Det kan også være en god anledning at genbesøge jeres risikovurdering, når der er sket et brud - og i den forbindelse overveje, om I kan forbedre jeres tilgang for at undgå lignende brud i fremtiden. 

Finde vejledning om, hvordan du kan gribe risikostyringsprocessen an:

Vejledning