Sikkerhedsbrud

En anden af Datatilsynets vejledninger handler om brud på datasikkerheden. I den forbindelse er det vigtigt at bemærke, at det kun er de informationssikkerhedshændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er omfattet af databeskyttelsesforordningens definition af et brud på persondatasikkerheden. Har din virksomhed så samtidig en ISO27001 certificering at bekymre sig som, så er et brud en informationssikkerhedshændelse og er defineret som

En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt
brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være relevant for sikkerheden ...

Handlemønsteret ved sådanne brud er (som ved færdselsuheld):

1. Skab sikkerhed^[1]
2. Vurdér bruddets omfang^[2]
3. Tilkald hjælp^[3]
4. Registrér bruddet og forlang en rapport fra det tilkaldte personale. Bliver det slået fast her, at bruddet har ført til et brud på persondatasikkerheden, gå da videre med punkt 5-7 - men først da!
5. Begræns skadens omfang - evt ved at gå i dialog med politiet, CSIRT eller private virksomheder med brud på datasikkerheden som speciale.
6. Informér registrerede om bruddet og de mulige konsekvenser - specielt hvor der er høj risiko for skadevirkninger for fysiske personer (økonomiske tab, tab af ære, omdømme, identitet, mm)
7. Dernæst, senest 72 timer^[4] senere, varsko Datatilsynet på virk.dk - der vil også være en henvisning fra datatilsynet.dk
8. Evaluér handlemønsteret i organisationen - og beslut/implementér eventuelle forbedringer af handlemønsteret med henblik på en optimering af responsen