Persondatabrud

Persondatabrud skal håndteres med det samme

Persondatabrud skal håndteres med det samme

Et persondatabrud er en hændelig eller en ulovlig tilintetgørelse, et tab, en ændring, en uautoriseret videregivelse af eller adgang til personoplysninger.

Institutionen skal omgående håndtere både potentielle og faktiske persondatabrud, i det øjeblik de opdages.

Det anbefales, at institutionen i alle tilfælde kontakter DPO med det samme for at modtage rådgivning  (DPOSI@kk.dk)

Overordnet er det følgende aktiviteter, der skal gennemføres:

  1. Indsamling af fakta om bruddet til brug for en umiddelbar vurdering - læs vejledning fra Datatilsynet via link herunder
  2. Stop af bruddet så vidt det er muligt
  3. Nødplan for daglig drift igangsættes om nødvendigt
  4. Undersøgelse af bruddets årsag og virkning, så bruddet ikke gentager sig
  5. Underretning af de registrerede (borgere, medarbejdere etc.), som er berørt af bruddet
  6. Kommunikation planlægges og gennemføres (ledelse/bestyrelse, evt. databehandlere, offentligheden)
  7. Anmeldes til Datatilsynet indenfor de lovpligtige tidsfrister på 72 timer fra bruddet er opdaget

Pkt. 5 og 7 skal gennemføres efter en nærmere vurdering (søg råd hos DPO).

I Håndbogen under afsnit 5 ”Persondatabrud ..” kan der læses yderligere om regler og håndtering.

Persondatabrud

Datatilsynets side om persondatabrud
Indberetning af persondatabrud