Har du en plan for brud på persondataloven?

Hvad er din plan for brud på persondataloven?

“Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”

Sådan definerer Datatilsynet et brud på persondatasikkerheden.

Brand, hacking eller forkert håndtering

Et brud kan fx ske, hvis dine it-systemer med personoplysninger ikke er tilstrækkelig sikrede, så udefrakommende får adgang til oplysningerne - med andre ord, hvis du bliver hacket.

Det kan også være den dataansvarliges egen håndtering af personoplysningerne, der fører til et brud, f.eks. hvis den dataansvarlige ubeføjet videregiver eller ændrer personoplysningerne.

Et tredje eksempel fra er, hvis den dataansvarlige ulovligt eller som følge af et hændeligt uheld (f.eks. brand eller oversvømmelse) i en periode ikke har adgang til eller ender med at tilintetgøre personoplysningerne.

Brud på GDPR - hvad nu?

Du skal - allerede før et eventuelt brud på persondataforordningen - have en plan for, hvordan du håndterer et sådant.

Der skal blandt andet være procedurer, som opdager brud på persondatasikkerheden, og som sikrer, at din virksomhed er i stand til at dokumentere bruddet og rapportere informationer om bruddet til Datatilsynet og evt. til de registrerede.

Du skal have styr på bruddets karakter - herunder kategorier af og antal registrerede samt kategorier antal registreringer, og du skal beskrive konsekvenserne af bruddet.

Endelig skal du have en beskrivelse på plads af sikkerhedsforanstaltninger og konkrete tiltag for at begrænse skadesvirkning.