Svar
Brud på datasikkerheden forekommer, når de oplysninger, jeres virksomhed/organisation har ansvaret for, er omfattet af en sikkerhedshændelse, som medfører brud på fortrolighed, tilgængelighed eller integritet. Hvis det sker, og det er sandsynligt, at bruddet udgør en risiko for den enkeltes rettigheder og frihedsrettigheder, skal jeres virksomhed/organisation informere den tilsynsførende myndighed uden unødig forsinkelse og senest 72 timer efter, at I er blevet opmærksomme på bruddet på datasikkerheden. Hvis jeres virksomhed/organisation er databehandler, skal I informere den dataansvarlige om alle brud på datasikkerheden.
Hvis bruddet på datasikkerheden udgør en høj risiko for de berørte enkeltpersoner, skal de også informeres (medmindre der iværksættes effektive tekniske og organisatoriske beskyttelsesforanstaltninger eller andre foranstaltninger, som sikrer, at risikoen sandsynligvis ikke længere vil forekomme).
Som organisation er det afgørende at iværksætte passende tekniske og organisatoriske foranstaltninger for at undgå mulige brud på datasikkerheden.
Eksempler
Organisationen skal informere databeskyttelsesmyndigheden og enkeltpersonerne
Oplysninger om en tekstilvirksomheds ansatte er blevet videregivet. Oplysningerne omfattede de enkelte ansattes hjemmeadresser, fanukuesammensætning, månedlige indkomst og sygeforsikring. I dette tilfælde skal tekstilvirksomheden informere den tilsynsførende myndighed om bruddet på datasikkerheden. Da personoplysningerne omfatter følsomme oplysninger såsom helbredsoplysninger, skal virksomheden også informere de ansatte.
En hospitalsmedarbejder beslutter at kopiere patientoplysninger til en CD og offentliggøre dem på internettet. Hospitalet finder ud af det efter et par dage. Så snart hospitalet finder ud af det, har det 72 timer til at informere den tilsynsførende myndighed, og da personoplysningerne indeholder følsomme oplysninger, som f.eks. om en patient har kræft, er gravid osv., skal det også informere patienterne. I dette tilfælde ville der være tvivl om, hvorvidt hospitalet har iværksat passende tekniske og organisatoriske beskyttelsesforanstaltninger. — Hvis det havde iværksat passende beskyttelsesforanstaltninger (f.eks. kryptering af data), havde risikoen været teoretisk, og hospitalet havde ikke skullet informere patienterne.
Virksomheden skal informere kunderne, og kunderne skal derefter muligvis informere databeskyttelsesmyndigheden og enkeltpersonerne
En cloud-tjenesteydelse mister flere harddiske med personoplysninger tilhørende flere kunder. Virksomheden skal informere kunderne, så snart den bliver opmærksom på bruddet. Kunderne skal informere databeskyttelsesmyndigheden og enkeltpersonerne, afhængigt af hvilke oplysninger der blev behandlet af databehandleren.
Referencer
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.