Mange virksomhedsejere har endnu ikke proceduren for håndtering af sikkerhedsbrud på plads. Det er ifølge en sikkerhedsekspert et problem, som virksomhederne bør rette op på hurtigt, fordi de ved et besøg fra Datatilsynet skal kunne dokumentere korrekt håndtering af alle sikkerhedsbrud
I den daglige drift af en virksomhed anvendes der mange personoplysninger om kunder og medarbejdere. I løbet af en dag behandler virksomhederne ofte mange personoplysninger bl.a. til lønsedler, fakturaer, nyhedsbreve, kontrakter og andre opgaver – og dermed risikerer de, at der sker fejl, som har betydning for de personoplysninger, der behandles. Når det sker, oplever virksomheden i juridisk forstand et brud på persondatasikkerheden. Når en medarbejder eksempelvis kommer til at sende en mail, der indeholder personoplysninger, til en forkert modtager, er der tale om et sikkerhedsbrud, der i nogle tilfælde skal meldes til Datatilsynet.
Selvom reglerne om sikkerhedsbrud er en del af GDPR, der trådte i kraft tilbage i 2018, er der stadig mange virksomheder, der ikke har proceduren for sikkerhedsbrud på plads endnu. En undersøgelse, som Visma Dataløn har foretaget blandt sine kunder, viser nemlig, at 30 procent af virksomhederne endnu ikke har en plan for håndteringen af datalæk.
Førstehjælp ved sikkerhedsbrud
Når en virksomhed oplever et sikkerhedsbrud, skal den straks vurdere, om bruddet er så alvorligt, at det skal anmeldes til Datatilsynet, eller om virksomheden kan nøjes med at dokumentere håndteringen af det i hændelsesloggen. Og her er det vigtigt at have tidsfristen for øje.
Hvornår et sikkerhedsbrud er så alvorlig, at det skal meldes til Datatilsynet, findes der ifølge Sille Sloth ikke et helt klart svar på. Det kommer an på situationen, og hvilke data, der er omfattet af sikkerhedsbruddet. Man skal vurdere, om bruddet medfører en risiko for de personer, hvis data er påvirket.
Sikkerhedsbrud er uundgåelige
Er anmeldelsen til Datatilsynet ikke nødvendig, er det alligevel vigtigt, at man følger proceduren og dokumenterer alt om bruddet i sin virksomheds hændelseslog. Datatilsynet kan nemlig bede om at se hændelsesloggen, når de kommer på besøg i virksomheden.
Skulle det værste ske, er der hjælp at hente hos Visma Dataløn. De har udarbejdet en gratis førstehjælps-guide, til alt man skal huske, hvis uheldet skulle være ude. Guiden kan findes her: dataløn.dk/førstehjælp