På di.dk anvender vi cookies til en række forskellige formål i forbindelse med funktion, webanalyse og marketing. Klikker du videre på sitet, accepterer du, at der sættes cookies til disse formål. Du kan læse mere om cookies og fravælge brugen af dem på denne side.

Bilbranchens persondataforløb - Opgave 11

Så er der 45 dage til Persondataforordningen træder i kraft. Næste opgave i Bilbranchens persondataforløb er klar.

Opgave 11: Procedure ved databrud  
Som dataansvarlig skal virksomheden have procedurer for at kunne håndtere databrud. Datatilsynet skal informeres indenfor 72 timer og have oplysning om type af databrud, kategorier af berørte data, antal af registrerede, antal af registreringer, kontaktinformation på databe-skyttelsesrådgiveren, konsekvenser for de registrerede og en beskrivelse af de korrigerende tiltag.  

Den dataansvarlige skal vurdere risici for de registrerede, og hvis der er høj risiko, skal de registrerede orienteres om bruddet.

I virksomhedens IT-politik beskrives, hvilke medarbejdere, der skal tage action, hvad de skal gøre, hvilke informationer de skal indsamle, og om de registrerede skal orienteres.

Til højre er der link til et eksempel på indholdet i en intern IT-politik.

IT-politikken bør suppleres med interne retningslinjer for databrud eller der kan udarbejdes en selvstændig intern procedure vedrørende databrud. Det kan anbefales, at IT-politikken eller den interne procedure som minimum beskriver følgende: 

  • Ansvar for håndtering af databrud hos X Biler A/S påhviler NN.   
  • I tilfælde af databrud eller risiko herfor skal bruddet omgående lukkes eller risikoen for bruddet elimineres. Såfremt der er behov for det skal virksomhedens IT-leverandør kontaktes. Kontaktoplysninger: …………….
  • Umiddelbart herefter eller samtidig skal kompromitterede personoplysninger så vidt muligt fjernes, slettes, afhentes eller returneres uanset hvilken form oplysninger har og hvor de uberettiget er tilgængelige for uvedkommende.
  • De berørte personer skal kontaktes så hurtigt som muligt.
  • Datatilsynet kontaktes senest 72 timer efter virksomheden er blevet bekendt med databruddet med oplysning om følgende:  Typen af databrud, kategorier af berørte data, antal af registrerede, antal af registreringer, kontaktinformation på relevante medarbejdere, konsekvenser for de registrerede og en beskrivelse af de korrigerende tiltag.

Disse tiltag kan f.eks. bestå i at: påse, at data bliver slettet eller eventuelt afhentet eller returneret fra uberettigede modtagere, sørge for at data slettes fra internet, herunder fra søgemaskiner, sørge for en hurtig underretning af berørte personer, det langsigtet sikres, at situationen ikke gentager sig. F.eks. ved at interne retningslinjer og forretningsgange kigges efter, ved bedre instruktion af medarbejdere, og/eller ved systemteknisk understøttelse af relevante forretningsgange i organisationen.  

Datatilsynet
Borgergade 28,5
1300 København K
Tlf.: 3319 3200
Fax: 3319 3218
www.datatilsynet.dk

Opgaven løses i løbet af uge 15 - 17. Herefter følger næstsidste opgave i Bilbranchens persondataforløb.

Kontakt image
Seniorchefkonsulent
Tlf: +45 3377 3567
Mobil: +45 2949 4413
E-mail: kartdi.dk
PUBLICERET: 09-04-2018 OPDATERET: 09-04-2018