Datatilsynet styrker vejledningsindsatsen ved brud på persondatasikkerheden

Nyhed

For et år siden indledte Datatilsynet en målrettet vejledningsindsats, der sikrer hurtig hjælp til at reducere sandsynligheden for at organisationer, der anmelder brud på persondatasikkerheden, oplever gentagelse af samme brud. Målet var at tilbyde relevant vejledning til dataansvarlige og databehandlere. På baggrund af analyser af 54.681 anmeldelser har tilsynet nu forbedret indsatsen yderligere.

De fleste sikkerhedsbrud anmeldes via Erhvervsstyrelsens onlineblanket (link), som hjælper med at sikre, at alle nødvendige oplysninger gives fra starten. Selvom blanketten kan virke omfattende, gør den det muligt at behandle anmeldelser hurtigt, hvilket resulterer i kortere sagsbehandlingstider og ofte afslutning uden yderligere indgriben fra tilsynet. Blanketten tilrettes løbende på baggrund af erfaringer og indgår dermed som en del af vejledningen til organisationer, der anmelder brud.

I tilfælde, hvor et brud kræver akut handling, tager Datatilsynet ofte direkte kontakt til anmelderen. Dette kan f.eks. være nødvendigt, hvis der er behov for at rydde op efter et brud, eller hvis personer, hvis oplysninger er blevet berørt, hurtigt skal underrettes. Denne direkte kontakt er samtidig en del af Datatilsynets målrettede vejledning.

Vejledningen bygger på erfaring og viden

Når en sag afsluttes, giver Datatilsynet anmelderen - så vidt muligt - links til relevante vejledninger, herunder materialer fra Datatilsynets foranstaltningskatalog (link). Vejledningerne er handlingsanvisende og indeholder både tekniske og organisatoriske foranstaltninger. De spænder bredt og omfatter ikke kun Datatilsynets egne materialer, men også vejledninger udarbejdet i samarbejde med Sikkerdigital.dk og brancheorganisationer som Dansk Industri, Dansk Erhverv og SMV Danmark. Derudover henvises der også til vejledninger fra Center for Cybersikkerhed.

"Vi ønsker at øge kendskabet til vejledningerne ved at gøre dem tilgængelige i en relevant kontekst, når vi modtager anmeldelser af brud, fortæller Walther Starup-Jensen, it-sikkerhedskonsulent i Datatilsynet.

Selvom udvælgelsen af vejledninger er automatiseret, gennemgår Datatilsynet altid anmeldelserne manuelt for at tilpasse vejledningerne - både skriftligt og via telefonisk kontakt. Hvis anmeldelsen indeholder detaljer om bruddets karakter og årsag, kan vejledningen tilpasses endnu bedre. Omvendt kan en kort og ukonkret anmeldelse medføre, at vejledningen bliver mindre målrettet.

Udvidelse af vejledningsindsatsen

Som en del af den løbende forbedring af vejledningen vil Datatilsynet fremover automatisk henvise til GDPR-universet for små foreninger, når disse - uanset størrelse ­- anmelder et brud. Henvisningen vil blive baseret på et CVR-opslag.

Den målrettede vejledning, der blev indført for et år siden, er ikke kun blevet en fast del af Datatilsynets arbejde, men er også løbende blevet forbedret og udvidet. Målet er at øge organisationers kendskab til relevant materiale, som kan reducere sandsynligheden for, at samme brud på persondatasikkerheden opstår igen.

Vil du vide mere?

Læs Datatilsynets nyhed fra sidste år om et nyt tiltag, der skal give hurtigere vejledning ved brud.

Læs om Datatilsynets foranstaltningskatalog.

Læs også om de 10 typiske brud på persondatasikkerheden og gode råd til, hvordan de undgås.

Du kan også læse relevante vejledninger fra Center for Cybersikkerhed her.