Procedure for håndtering af brud på persondatasikkerheden

Alle brud på persondatasikkerheden skal anmeldes til Datatilsynet indenfor 72 timer efter at bruddet er konstateret, medmindre det er usandsynligt at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.

Samtidig har Randers Kommune en forpligtelse til at underrette den registrerede (den/dem bruddet er gået ud over), hvis bruddet på persondatasikkerheden sandsynligvis vil indebære en høj risiko for deres rettigheder og frihedsrettigheder.

Kriteriet for hvornår der skal anmeldes til Datatilsynet er, at det "er usandsynligt at bruddet indebærer en risiko …", hvilket betyder at grænsen for, hvad der skal anmeldes, er lav. Kriteriet for, hvornår den berørte skal orienteres er, at der skal være en ”høj risiko” relateret til bruddet. Det forhold at noget anmeldes til datatilsynet betyder således ikke, at den berørte altid, skal orienteres.

Nedenfor er eksempler på, hvordan anmeldelse til Datatilsynet håndteres i forskellige situationer. Hvorvidt der skal anmeldes, tager altid udgangspunkt i en konkret og reaktiv risikovurdering specifikt i forhold til konsekvenserne af bruddet på persondatasikkerheden.

At et brud på persondatasikkerheden vurderes til ikke at have konsekvenser for de berørte personer kan f.eks. begrundes i de sikkerhedsforanstaltninger, der på forhånd er opsat eller hurtig indgriben. Eksempler på dette kan være, at det gennem en log kan konstateres at personoplysningerne reelt ikke er kommet til uvedkommendes kendskab eller at oplysningerne er beskyttet af en stærk kryptering.

Følgende forhold bør altid indgå i den konkrete vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder som følge af et brud på persondatasikkerheden:

• Typen af sikkerhedsbrud, herunder om der er sket tab af oplysninger, brud på fortroligheden eller en integritetskrænkelse
• Oplysningernes art og omfang
• Risikoen for at registrerede kan identificeres
• Konsekvenser bruddet kan have for de registrerede
• Hvorvidt bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn eller særligt udsatte)
• Antallet af berørte fysiske personer.

Interne fejlforsendelser mellem medarbejdere i Randers Kommune fra en @Randers-mail til en @Randers-mail indeholdende almindelige personoplysninger anmeldes som udgangspunkt ikke til Datatilsynet.

Begrundelse: Alle medarbejdere er underlagt tavshedspligt og vant til at håndtere personoplysninger. Derudover vil brud, der involverer almindelige personoplysninger normalt ikke have nær så store konsekvens for de registrerede. Den uvedkommende medarbejder skal dog straks instrueres i at slette uvedkommende materiale.

Særligt vedr. medarbejdere:

• Afsendelser omhandlende lønskemaer, forlængelse af ansættelseskontrakter eller lignende, som sendes til en forkert medarbejders e-Boks anmeldes som udgangspunkt ikke til Datatilsynet. Disse dokumenter indeholder ikke cpr. nr. og det vil som udgangspunkt ikke have nogen negativ skadevirkning for den registrerede at disse dokumenter kommer andre interne medarbejdere i hænde. Ligeledes vil der kunne søges aktindsigt i dokumenterne. Begrundelse: Alle medarbejdere er underlagt tavshedspligt og vant til at håndtere personoplysninger. Den uvedkommende medarbejder skal dog straks slette uvedkommende materiale, registrerede skal underrettes om fejlen.
• Forsendelser indeholdende opsigelser, indkaldelser til tjenstlige samtaler, referater fra sygefraværssamtaler eller lignede. Disse fejlforsendelser anmeldes grundet deres indhold til Datatilsynet og som udgangspunkt skal den registrerede også orienteres om evt. fejlforsendelse.
• Mails sendt fra en @randers-mail til en forkert (privat) mailadresse (forsendelser som burde være sendt som digitalpost via e-Boks). Disse forsendelser anmeldes som udgangspunkt ikke til Datatilsynet, idet kommunens som standard sender al udgående kommunikation TLS krypteret. Er mails sendt til en forkert privat mailadresse anmeldes forholdet alt efter indholdet i mailen. IT afdelingen tjekker altid om mailen konkret er sendt TLS-krypteret inden det besluttes ikke at anmelde.
• Fejlagtig håndtering af adresseoplysninger vil normalt ikke forventes at kunne få alvorlige konsekvenser for de registrerede, men kan man af adressen udlede følsomme personoplysninger (f.eks. er vedkommende bosiddende på et misbrugshjem) eller har personen adressebeskyttelse, er vurderingen som udgangspunkt en anden og i disse tilfælde vil der skulle anmeldes.
• Harddiskene på kommunens PC'er er krypterede, hvilket betyder at brud omhandlende mistede PC'er som udgangspunkt ikke anmeldes til Datatilsynet som et brud på persondatasikkerheden, da det ikke umiddelbart vil være muligt for uvedkommende at dekryptere harddisken. IT-afdelingen tjekker dog altid konkret om korrekt kryptering var installeret på den enkelte PC. Uagtet at bruddet som udgangspunkt ikke anmeldes til Datatilsynet skal der fortsat ske anmeldelse via kommunens interne anmeldelsesordning, idet kommunen er forpligtet til at føre log over alle brud.
• Eksterne fejlforsendelser hvor der fremgår følsomme eller fortrolige personoplysninger anmeldes som det klare udgangspunkt til Datatilsynet.
• Vedrøre indholdet af en fejlforsendelse mindreårige eller særligt udsatte borgere er tærsklen for, hvad der anmeldes lavere.

Den/de berørte personer skal orienteres om persondatabruddet, hvis der er en høj risiko for krænkelse af deres rettigheder og frihedsrettigheder. Underretning skal ske uden unødig forsinkelse efter bruddet er konstateret.

Formålet med underretningen er, bl.a. at give den berørte mulighed for at træffe de fornødne forholdsregler. Er der f.eks. blevet offentliggjort cpr. nr. på kommunens hjemmeside skal de berørte orienteres således, at de kan træffe deres forholdsregler ifht. identitetstyveri. Der skal samtidig vejledes om hvilke forholdsregler man kan tage sig.

Underretning af den/de berørte bør ikke ske som en refleksreaktion i de tilfælde, hvor der sker, anmeldes til Datatilsynet, idet en orientering kan skabe unødig bekymring hos de berørte, samtidig kan orienteringen skabe forvirring, idet det kan være svært at forstå henvendelsen. Underretningen til den registrerede skal beskrive karakteren af bruddet på persondatasikkerheden og som minimum:

• angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
• beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
• beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Hvis det kræver en uforholdsmæssig indsats, kan underretning undlades. Generel underretning i form af nyhed på hjemmeside eller anden offentlig meddelelse bør i stedet overvejes. Denne beslutning må kun træffes i samråd med kommunens databeskyttelsesrådgiver.

På kommunens intranet kan du findes en skabelon til, hvordan en orientering til de berørte borgere kan se ud. Det anbefales at du anvender denne skabelon.

Alle brud på persondatasikkerheden indberettes via Serviceportalen, der ligger som et ikon på computerens skrivebord. I Serviceportalen vælges "flisen" "Anmeld sikkerhedshændelse" herefter vælges "flisen" "Anmeld brud på persondatasikkerheden". Herefter udfyldes den skabelon der fremkommer. Når skabelon er udfyldt og indsendt, behandles den af informationssikkerhedsteam. Opdatering på sagen sker vi Serviceportalen.

Sekretariatschefen for det pågældende område orienteres om alle brud på persondatasikkerheden indenfor det enkelte forvaltningsområde.

Uagtet at bruddet som udgangspunkt ikke anmeldes til Datatilsynet skal der fortsat ske anmeldelse via kommunens interne anmeldelsesordning, idet kommunen er forpligtet til at føre log over alle brud på persondatasikkerheden.