Vejledning om håndtering af brud på persondatasikkerheden
Denne vejledning uddyber, hvordan udbydere af offentligt tilgængelige elektroniske kommunikationstjenester skal håndtere brud på persondatasikkerheden.
Læs vejledningen her:
1. Kapitel: Indledning
2. Kapitel: Håndteringen af brud på persondatasikkerheden
3. Kapitel: Underretningskravene ved brud på persondatasikkerheden
4. Kapitel: Information til brugere ved særlig risiko for brud på persondatasikkerheden
Version 1.0
Seneste opdatering 2. juni 2021
1. Kapitel
Indledning
Du skal læse denne vejledning, hvis du vurderer, at det kan være relevant for dig at vide mere om håndtering af brud på persondatasikkerheden i den elektroniske kommunikationssektor. Reglerne følger af §§ 5-6 i persondatasikkerhedsbekendtgørelsen (bekendtgørelse nr. 1882 af 4. december 2020 om persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester og nummeruafhængige interpersonelle kommunikationstjenester).
Persondatasikkerhedsbekendtgørelsen er udstedt med hjemmel i § 8, stk. 1 i teleloven (lovbekendtgørelse nr. 128 af 7. februar 2014 om elektroniske kommunikationsnet og -tjenester senest ændret ved lov nr. 1833 af 8. december 2020). Reglerne har baggrund i e-databeskyttelsesdirektivet (direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor).
Definitionerne i persondatasikkerhedsbekendtgørelsen skal læses i sammenhæng med definitionerne i teleloven, e-databeskyttelsesdirektivet og teledirektivet (direktiv 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation).
Reglerne finder anvendelse for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og offentligt tilgængelige nummeruafhængige interpersonelle kommunikationstjenester (herefter elektroniske kommunikationstjenester).
Denne vejledning beskriver, hvad der udgør et brud på persondatasikkerheden knyttet til udbud af elektroniske kommunikationstjenester. Dertil vil der være en beskrivelse af de pligter, og den proces, som udbyderne skal iagttage ved et brud på persondatasikkerheden.
Der henvises til vejledning om risikovurdering for nærmere gennemgang af de foranstaltninger, som udbyderne har pligt til at træffe for at undgå brud på persondatasikkerheden.
Der henvises i øvrigt til den generelle vejledning om databeskyttelse i den elektroniske kommunikationssektor for nærmere oplysninger om de tjenester, der er omfattet af reglerne, om reglerne vedrørende tilsyn, klageadgang og sanktion samt yderligere oplysninger omkring samspillet mellem reglerne i teleloven, e-databeskyttelsesdirektivet og teledirektivet.
2. Kapitel
Håndteringen af brud på persondatasikkerheden
I dette afsnit vil der være en beskrivelse af følgende:
- Hvornår en hændelse udgør et brud på persondatasikkerheden omfattet af de sektorspecifikke regler i den elektroniske kommunikationssektor.
- En gennemgang af reglerne omkring underretning af henholdsvis Digitaliseringsstyrelsen og de berørte personer
- En gennemgang af de pligter, som påhviler udbyderne, når der eksisterer en særlig risiko for et brud på persondatasikkerheden.
2.1. Definition af persondata
Hverken teleloven eller persondatasikkerhedsbekendtgørelsen indeholder en definition af begrebet persondata. Der skal derfor skeles til definitionen i de generelle regler om databeskyttelse.
Persondata (eller personoplysninger) defineres i artikel 4 nr. 1 i GDPR (forordning 2016/679/EU af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF), som enhver form for information om en identificeret eller identificerbar fysisk person.
Persondata kan fx omfatte kunders eller brugers:
- Navne
- Kontaktoplysninger
- Cpr-numre
- Kundenumre
- Adgangskoder
- Regningsoplysninger
- Opkaldslister
- Trafikdata
- Indholdet af beskeder eller telefonsamtaler
2.2. Hvad udgør et brud på persondatasikkerheden?
Ved et brud på persondatasikkerheden er der tale om et sikkerhedsbrud, som indebærer, at persondata enten hændeligt eller ulovligt:
- Tilintetgøres
- Tabes
- Ændres
- Ubeføjet videregives
- Ubeføjet kan tilgås
Der er i denne forbindelse tale om persondata som enten sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af tjenesten.
Det betyder, at en udbyder alene skal indberette et brud på persondatasikkerheden til Digitaliseringsstyrelsen, og ikke (også) Datatilsynet, når der er tale om et brud, der relaterer sig til udbuddet af en elektronisk kommunikationstjeneste. Brud på persondatasikkerheden som vedrører virksomhedens interne forhold fx HR-oplysninger skal ikke indberettes til Digitaliseringsstyrelsen, men derimod Datatilsynet.
Definitionen på et brud på persondatasikkerheden kan findes i § 2 i persondatasikkerhedsbekendtgørelsen samt e-databeskyttelsesdirektivets artikel 2 litra h.
De typiske brudsagstyper, som opstår ved behandling af persondata i relation til udbud af elektronisk kommunikation, er fx manuelle fejl, systemfejl, hackerangreb mv. Disse vil blive gennemgået nærmere i nedenstående afsnit.
2.2.1. Manuelle fejl
Manuelle fejl kan eksempelvis være tastefejl, copypaste fejl - hvor det forkerte data bliver kopieret og indsat på det forkerte kundeforhold - eller sammenblanding af kunders persondata pga. flere åbne systemvinduer hos en kundeservicemedarbejder. Sådanne fejl skyldes primært menneskelige fejl. Disse fejl kan dog også opstå som følge af, at udbyderne ikke har fastsat procedure og skabt opmærksomhed omkring manuelle fejl.
Disse fejl ses ofte i butikker og kundeservicecentre som har megen kundekontakt, og dermed behandler en stor mængde af persondata på daglig basis.
Sådanne manuelle fejl kan medføre, at brugeres eller abonnenters persondata eksponeres for tredjepart.
Eksempel – Tastefejl
En medarbejder skal oprette en ny kunde. Ved oprettelsen af kundeforholdet kommer medarbejderen til at lave en tastefejl ved indtastning af kundens CPR-nr. Dette medfører, at en kontrakt indeholdende forkert navn og adresse, dog uden selve CPR-nummeret, eksponeres.
Eksempel – Flere åbne systemvinduer
En medarbejder skal betjene en kunde som henvender sig til udbyderens kundeservice. Medarbejderen har flere systemvinduer åbne, hvoraf ét af vinduerne viser oplysninger om en anden kunde, som medarbejderen tidligere har snakket med. Dette opdager medarbejderen ikke, og vedkommende kommer til at foretage ændringer på det forkerte kundeforhold. Der bliver bl.a. tilføjet en forkert mailadresse som medfører, at den berørtes persondata sendes til tredjepart.
Eksempel – Systemopsætning
En medarbejder skal oprette et kundeforhold. Systemet ”kræver”, at der skal angives en mailadresse, når der oprettes et kundeforhold eller afsendes et tilbud. Kunden har dog ikke en mailadresse. Medarbejderen vælger derfor at anvende en fiktiv mailadresse (fx ”mangler @mail.dk”). Denne adresse viser sig at tilhøre en person. Ejeren af den ”fiktive” mailadresse modtager derfor ordrebekræftelser med kundens navn og kontaktoplysninger.
Eksempel – Manglende kundevalidering
En person kontakter kundeservice på vegne af en kunde hos udbyderen – det kan fx være en søn, der hidtil har fået betalt sit abonnement af forældrene, men nu ønsker abonnementet i eget navn. Medarbejderen undlader at kontrollere, at der foreligger et samtykke fra kunden, inden medarbejdere begynder at ekspedere den pågældende. Der er dermed foretaget en ubeføjet ændring af persondata.
2.2.2. Systemfejl
Systemfejl kan fx opstå i forbindelse med systemopdateringer eller -migreringer, hvor data ikke overføres korrekt fx på grund af fejl i indstillinger, design, kode eller kompatibilitet. Sådanne fejl kan udgøre et brud på persondatasikkerheden, hvis de omhandlede systemer indeholder persondata vedrørende brugere eller abonnenter, og systemfejlen medfører, at der sker tilintetgørelse, tab, ændring videregivelse eller adgang til disse persondata.
Det kan f.eks. være i situationer, hvor der opstår systemfejl i selvbetjeningsløsninger eller interne systemer indeholdende brugeres og abonnenters persondata.
Eksempel – Manglende test af systemopdatering
En udbyders selvbetjeningssystem har netop være igennem en systemopdatering. Inden det opdateret system blev released blev systemet ikke testet for fejl. Opdateringen har en fejl, som medfører, at kunders oplysninger bliver sammenblandet, så én kunde kan se en anden kundes oplysninger på vedkommendes selvbetjeningsløsning.
Eksempel – Manglende test af opdatering
En udbyder skal have opdateret deres kundesystem. En migrering af det gamle og nye system er derfor nødvendigt. Migreringen indebærer bl.a. flytning af kunders persondata. Inden det opdaterede system skal releases, bliver der ikke foretaget test og review af systemet. Uheldigvis indeholder systemet en systemfejl som kunne være blevet identificeret, hvis systemet havde været igennem test og review. Systemfejlen indebærer, at kundernes kontaktoplysninger sammenblandes, når der skal sendes mails til kunderne fra systemet. Kunderne modtager derfor korrespondance vedrørende hinandens kundeforhold.
2.2.3. Hacking
Ved hacking kan en tredjepart opnå uautoriseret adgang til persondata. Der kan typisk være tale om hacking af login-oplysninger, der fx giver adgang til information om kunders tv-pakker og online streamingtjenester. Derudover kan der også være tale om hacking af udbydernes interne systemer.
Eksempel – Brug af svage adgangskoder
Flere medarbejdere i kundeservice benytter en svag adgangskode til kundesystemet. Dette har de gjort pga. manglende kendskab til risikoen ved at anvende svage adgangskoder. Udbyderne har nemlig ikke vejledt og informeret medarbejdere omkring vigtigheden af at benytte stærke password for at minimere risikoen for hackerangreb. Grundet medarbejdernes anvendelse af svage password bliver udbyderens kundesystem udsat for et hackerangreb. Dette angreb medfører, at gerningsmændene får adgang til kunders persondata.
Eksempel – Manglende antivirus
Udbyderen har ikke installeret antivirussoftware på medarbejdernes computere. En medarbejder downloader et gratis præsentationsprogram fra nettet. Dette medfører, at medarbejdernes computer og udbydernes systemer udsættes for et ransomware angreb. Gerningsmændene bag angrebet får adgang til udbydernes systemer og filer indeholdende abonnenters persondata. Gerningsmændene krypterer udbyderens filer og låser udbyderens systemer. Gerningsmændene kræver en løsesum mod at give udbyderen adgang til systemet og filerne igen.
2.2.4. Internt adgangsstyring af systemer
Et brud på persondatasikkerheden kan ligeledes være forårsaget af, at udbyderen ikke har opsat passende adgangsbegrænsninger til it-systemerne, således, at uvedkommende har adgang til kunders og brugers persondata.
Eksempel – Adgangsbegrænsninger
Udbyderens system, indeholdende kunders persondata, har ikke haft den fornødne adgangsbegrænsning. Alle medarbejdere har derfor kunne tilgå systemet i denne periode. På baggrund af logs over systemet bliver det konstateret, at fem medarbejdere, som er ansat i HR afdelingen, har slået kunder op i systemet uden, at dette er sket i relation til deres arbejde.
2.2.5. Brud på persondatasikkerheden der falder uden for reglerne om persondatasikkerhed i den elektroniske kommunikationssektor
Indledningsvis skal det bemærkes, at der ikke er tale om et brud på persondatasikkerheden, når bruddet ikke sker pga. fejl eller utilstrækkelige foranstaltninger hos udbyderen. Dette kan fx være tilfældet, hvis der er tale om kundefejl. Ved brud, der ikke falder under Digitaliseringsstyrelsens kompetencer bør udbydere overveje, om Datatilsynet bør underrettes jf. de generelle regler om databeskyttelse som hører under Datatilsynets ressort.
Direkte markedsføring, der sker i strid med markedsføringslovgivningens regler – fx fordi der ikke er indhentet nødvendigt samtykke - er ligeledes ikke et brud på persondatasikkerheden, men vil skulle vurderes efter markedsføringslovgivningens regler, som hører under Forbrugerombudsmandens kompetence.
Eksempler
Situationer hvor de sektorspecifikke regler ikke finder anvendelse:
- En kunde går ind i en telefonbutik for at købe en telefon uden abonnement. Medarbejderen får fejlagtigt registreret en forkert e-mail på kvitteringen, hvorfor kvitteringen for købet, indeholdende persondata, sendes til en tredjepart. Der er i dette eksempel ikke tale om et køb af en elektroniske kommunikationstjeneste. Bruddet er derimod sket i forbindelse med et køb af et terminaludstyr.
- En kunde skal have repareret sin telefon. Vedkommende henvender sig derfor til en udbyder for at få den repareret. Ved indlevering af telefonen, udleveres en lånetelefon. Denne lånetelefon er ikke blevet renset for tidligere låneres persondata, hvorfor kunden får adgang til den tidligere låners persondata. Dette brud er ikke sket i sammenhæng med udbuddet af en elektronisk kommunikationstjeneste, og bruddet skal ikke indberettes til Digitaliseringsstyrelsen.
- En ansat hos en udbyder af en elektronisk kommunikationstjeneste kommer fejlagtigt til at sende en mail til alle medarbejdere hos udbyderen. Mailen indeholder persondata vedrørende en kollega. Dette brud er ikke sket som led i udbuddet af den elektroniske kommunikationstjeneste, hvorfor det ikke skal indberettes til Digitaliseringsstyrelsen.
Situationer, hvor udbyderen ikke kan holdes ansvarlig:
- En udbyder sender et korrekt adresseret brev til en kunde, men brevet bliver leveret til en forkert modtager. I sådan en situation vil der ikke være tale om et brud hos udbyderen, men hos postleverandøren.
- En kunde har oprettet et abonnement online og taster i forbindelse med oprettelsen sin e-mail forkert, så en ordrebekræftelse sendes til den forkert registrerede e-mailadresse. Der vil her være tale om en kundefejl og ikke et brud på persondatasikkerheden hos udbyderen.
2.2.6. Optegnelse over brud på persondatasikkerheden
Udbydere af elektroniske kommunikationstjenester skal føre optegnelser over brud på persondatasikkerheden. Dette følger af persondatasikkerhedsbekendtgørelsens § 6.
Disse optegnelser skal indeholde oplysninger om
- omstændighederne ved bruddene,
- deres virkninger, og
- de afhjælpende foranstaltninger, der er truffet.
Optegnelserne skal være så detaljerede, at Digitaliseringsstyrelsen som led i sit tilsyn kan føre kontrol med overholdelsen af forordningens underretningskrav (som beskrevet nedenfor i afsnit 2.3.).
Desuden er formålet med kravet om at føre optegnelser over brud at give de kompetente nationale myndigheder mulighed for at foretage yderligere analyser og evalueringer over trufne foranstaltninger og for at kunne videreformidle bedste praksis blandt udbydere. Det følger af betragtning 58 til den ændring af e-databeskyttelsesdirektivet, der blev gennemført i 2009.
3. Kapitel
Underretningskravene ved brud på persondatasikkerheden
Dette afsnit fokuserer på kravene om underretning af både Digitaliseringsstyrelsen, samt de fysiske personer som er berørt af hændelsen.
Ved et brud på persondatasikkerheden i den elektronisk kommunikationssektor skal underretning om bruddet ske efter forordning om underretning (forordning nr. 611 af 26. juni 2013 om underretning om brud på persondatasikkerheden).
Det følger af §§ 2 og 3 i forordningen om underretning, at udbydere skal
- underrette den kompetente nationale myndighed om samtlige brud på persondatasikkerheden og
- underrette en abonnent eller en evt. berørt fysisk person, hvis bruddet på persondatasikkerheden kan forventes at krænke persondata eller privatlivets fred for abonnenten eller den fysiske person.
Reglerne om underretning fremgår ligeledes af § 5 i persondatasikkerhedsbekendtgørelsen.
3.1. Underretning af den kompetente nationale myndighed
Digitaliseringsstyrelsen er den kompetente danske myndighed efter forordning om underretning, og underretning skal derfor ske hertil.
Udbydere kan via portalen på Virk: Indberetning af brud på sikkerhed underrette om brud på persondatasikkerheden.
Proceduren for underretning af brud på persondatasikkerheden indebærer følgende:
- Udbyderen skal indberette alle brud på persondatasikkerheden til Digitaliseringsstyrelsen
- Udbyderen skal i sin indberetning til Digitaliseringsstyrelsen vedlægge de oplysninger, der er angivet i bilag I til forordning om underretning.
Underretningen skal følge den procedure, som fremgår af artikel 2 i forordningen om underretning. Dette vil blive gennemgået nærmere i nedenstående afsnit.
3.1.1. Hvornår skal underretning af Digitaliseringsstyrelsen finde sted?
Indberetningen skal ske senest 24 timer efter, at bruddet er påvist, når dette er praktisk muligt.
Et brud anses for påvist hvis udbyderen har opnået tilstrækkeligt kendskab til, at sikkerhedshændelsen er indtruffet, og hændelsen har kompromitteret persondatasikkerheden. En simpel formodning om, at et brud på persondatasikkerheden har fundet sted, eller en simpel påvisning af en hændelse vil ikke være tilstrækkeligt til at anse et brud på persondatasikkerheden for påvist. Dette fremgår af betragtning 8 i forordning om underretning.
Bruddet er således ikke påvist, hvis de oplysninger, der er til rådighed for udbyderen, er utilstrækkelige til at fastslå, at der er sket et brud, selvom udbyderen gør sit bedste for at skabe afklaring. I vurderingen af om et brud er påvist, skal der tages særligt hensyn til, om de oplysninger, der er nævnt i forordningens bilag I, står til rådighed for udbyderen, fx oplysninger om omstændighederne ved bruddet (bortkomst, tyveri eller kopiering m.v.).
Eksempel – endelig påvisning af brud
Medarbejderne i kundeservice oplever pludseligt problemer med kundesystemet. Udbyderen ved ikke, om problemet skyldes en teknisk fejl i systemet eller et hackerangreb. Det kan derfor ikke udelukkes, at persondata kan være eksponeret for tredjepart. It-afdelingen hos udbyderen påbegynder derfor straks en undersøgelse af problemet.
På dette tidspunkt i hændelsesforløbet kan det ikke endeligt fastslås, hvorvidt der er tale om et brud på persondatasikkerheden. Der mangler yderligere oplysninger omkring problemet for at få klarlagt, om dette er tilfældet. Der foreligger blot en simpel formodning om, at der er sket et brud på persondatasikkerheden. Der skal derfor endnu ikke foretages en underretning af Digitaliseringsstyrelsen.
Først når udbyderen kan konstatere, at der sket et brud på persondatasikkerheden, vil Digitaliseringsstyrelsen skulle underrettes. Denne konstatering skal ske, selvom der ikke nødvendigvis kan foretages en fyldestgørende underretning af Digitaliseringsstyrelsen.
Udbyderen skal i underretningen vedlægge alle oplysninger som er nævnt i bilag I i forordning om underretning (dvs. både de oplysninger som fremgår af første og anden afdeling i bilag I).
Særligt relevante oplysninger er beskrevet nedenfor.
3.1.2. Når udbyderen ikke er i besiddelse af alle de påkrævede oplysninger
Er udbyderen ikke i besiddelse af de påkrævede oplysninger, senest 24 timer efter bruddet er blevet påvist, fordi der er behov for en nærmere undersøgelse af bruddet, kan udbyderen i stedet:
- Indsende en indledende underretning, som skal indeholde de oplysninger, der er anført i bilag I, afdeling 1 i forordning om underretning senest 24 timer efter at bruddet er påvist.
- Udbyderen skal indsende den anden underretning hurtigst muligt og senest 72 timer efter den indledende underretning. Denne indberetning skal indeholde de oplysninger, som er anført i bilag I, afdeling 2, i forordning om underretning og om nødvendigt ajourføre de oplysninger, der allerede er afgivet.
- Er udbyderen på trods af sine undersøgelser ikke i stand til at forelægge alle oplysninger senest 72 timer efter den indledende indberetning, skal udbyderen afgive alle de oplysninger, udbyderen har til rådighed, inden for denne tidsfrist. Derudover skal udbyderen forelægge Digitaliseringsstyrelsen en begrundelse for den forsinkede indberetning. Udbyderen forelægger derefter hurtigst muligt de resterende oplysninger og ajourfører om nødvendigt de oplysninger, der allerede er afgivet.
Ovenstående fremgår af artikel 2, nr. 3 i forordningen om underretning.
Oplysningerne som er nævnt i bilag I, afdeling 1 og 2 i forordning om underretning er beskrevet overordnet nedenfor.
3.1.3. Hvilke oplysninger skal underretningen til Digitaliseringsstyrelsen indeholde?
Bilag I i forordning om underretning fastlægger, hvilke oplysninger der skal være indeholdt i en underretning til Digitaliseringsstyrelsen
Underretning viawww.virk.dkgiver selskabet mulighed for at indtaste de fornødne oplysninger vedrørende persondatabruddet ud fra de oplysninger som er oplistet i forordningens bilag I. Dette inkluderer oplysninger om udbyderens identitet samt oplysninger omkring selve bruddet på persondatasikkerheden. Nedenfor vil de vigtigste nedslagspunkter blive gennemgået enkeltvist, for at konkretisere, hvordan indberetningsløsningen kan udfyldes mest hensigtsmæssigt.
Disse oplysninger omfatter:
- Årsagen til hændelsen
- Typer af personoplysninger, der er berørt af hændelsen
- Tidslinje
- Omfang
- Foranstaltninger
Årsagen til hændelsen
I fritekstfeltet skal der gives en konkret beskrivelse af årsagen til hændelsen, herunder hvad fejlen har resulteret i. Her kan der med fordel oplyses om fejlens karakter, herunder hvorvidt der er tale om en manuel fejl, en systemfejl, hacking m.v. Der opfordres til, at dette felt udfyldes grundigt, idet selskabet ellers vil blive anmodet om at fremsende en nærmere uddybning af hændelsen.
En underretning, hvor der fx i hændelsesbeskrivelsen blot fremgår ”forkert mailadresse” vil ikke være en tilstrækkelig beskrivelse. Det er vigtigt, at der gives en forklaring på sammenhængen mellem bruddet og fejlen samt oplysninger om fejltypen.
Hvis selskabet ikke udførligt kan beskrive hændelsesforløbet, herunder sammenhængen mellem fejlen og bruddet samt fejlens karakter pga. en igangværende undersøgelse, bedes selskabet anføre dette i feltet. I forlængelse heraf bedes selskabet notere, hvornår Digitaliseringsstyrelsen kan forvente at modtage en status på sagen, hvis undersøgelsen ikke kan forventes at blive færdiggjort inden for 72 timer efter den første indberetning.
Typer af personoplysninger, der er berørt af hændelsen
I disse felter bedes selskabet afkrydse de relevante felter i henhold til det specifikke brud.
1: Kontaktoplysninger omfatter
- adresse,
- telefonnummer, e-mailadresse m.v., samt
- oplysninger om, hvorvidt den/de berørte har hemmeligt og/eller udeladt nummer (dette kan have særlig betydning for, hvorvidt selskabet bør underrette den/de berørte)
2: Økonomiske forhold er f.eks.
- gæld,
- RKI-registrering, eller
- fakturaer
3: ”Andet” benyttes i tilfælde af, at bruddet vedrører oplysninger såsom
- konto/abonnement (produkter, forbrug og teleselskab), eller
- kundekonto ID (bruger, kontonavn/-nummer)
Opstår der tvivl om, hvilken kategori det berørte persondata falder ind under, kan oplysningerne med fordel skrives under feltet ”andet” med en uddybelse i fritekstfeltet.
Tidslinje
Under tidslinje beskrives indledningsvist hændelsens start, herunder
- hvornår fejlen opstod og
- hvad der skete, da fejlen opstod.
Her kan der hentes inspiration fra fritekstfeltet, der beskriver årsagen til hændelsen – f.eks. at en medarbejder i forbindelse med en kundeekspedition fik tastet kundens e-mail forkert.
Dernæst ønskes informationer om hændelsens afslutning, herunder
- notering af tidspunktet for afslutningen og
- en beskrivelse af, hvad der afsluttede det enkelte brud – f.eks. at en fejltastet e-mailadresse blev rettet, eller at den forkerte modtager af persondata, er blevet bedt om at slette/destruere de modtagne oplysninger.
Afslutningsvist ønskes der informationer om konstateringen af fejlen, herunder
- en angivelse af det specifikke tidspunkt og
- en beskrivelse af, hvordan selskabet blev gjort opmærksom på fejlen – fx at fejlmodtageren af en ordrebekræftelse kontaktede teleselskabet, og at medarbejderen i den forbindelse opdagede, at e-mailadressen er indtastet forkert.
Omfang
Under ”omfang” skal det samlede antal berørte personer angives. Her inkluderes selskabets medarbejdere ikke, og der skal alene angives det antal personer, hvis data er berørt af bruddet.
Foranstaltninger
Under ”foranstaltninger der er truffet for at standse bruddet”, er det vigtigt, at udbyderne af elektroniske kommunikationstjenester grundigt beskriver de specifikt trufne foranstaltninger i forhold til det konkrete brud. Dette bør både indbefatte allerede implementerede foranstaltninger og eventuelle processer og tiltag, som selskabet påtænker at implementere. Digitaliseringsstyrelsen fokuserer særligt på, at foranstaltningerne er individualiserede og konkretiserede og dermed står i forhold til det konkrete brud. Selskabet kan med fordel undlade at indsætte generaliserede foranstaltninger, da Digitaliseringsstyrelsen vil være nødsaget til at få uddybet disse.
Under ”foranstaltninger der er truffet for at begrænse den skade, som den/de berørte har lidt”, ønskes en beskrivelse af, hvorledes selskabet begrænser de eventuelle skadevirkninger, der er opstået som konsekvens af bruddet. Eksempler herpå kan være, at selskabet begrænser skaden ved at nulstille eksponerede adgangskoder eller lignende. Udbyderen af den elektroniske kommunikationstjeneste bør have fokus på at benytte fritekstfeltet, til grundigt at beskrive de trufne foranstaltninger i henhold til den konkrete sag.
Derudover bedes selskabet også løbende overveje, om det konkrete brud har givet anledning til at ændre i selskabets procedure og praksis. Dette kan ligeledes anføres under dette felt i indberetningsskemaet. Sammen med selskabets eventuelle langsigtede foranstaltninger med henblik på at hindre, at lignende brud opstår fremadrettet.
3.2. Underretning af abonnenter eller fysiske personer
Abonnenter eller fysiske personer skal underrettes om bruddet på persondatasikkerheden, hvis det kan forventes at krænke personoplysninger eller privatlivets fred. Dette følger af artikel 3 i forordningen om underretning.
Ved vurderingen af, hvorvidt bruddet kan forventes at krænke personoplysninger eller privatlivets fred, skal følgende hensyn inddrages:
1: Karakteren og indholdet af de pågældende persondata
- fx finansielle oplysninger, særlige personfølsomme oplysninger, lokaliseringsdata, internetlogfiler, browserhistorik, e-maildata og udspecificerede opkaldslister
2: De sandsynlige følger af bruddet
- fx om bruddet kan medføre identitetstyveri, fysisk skade eller psykologisk forstyrrelse, tort eller skade af omdømme
3: Omstændighederne ved bruddet på persondatasikkerheden
- fx hvis oplysningerne er stjålet, eller hvis udbyderen er bekendt med, at de omhandlede data er i en uautoriseret tredjemands besiddelse.
Eksempel – underretning af berørte
En udbyder bliver udsat for et hackerangreb. Systemet indeholder oplysninger vedrørende kunders finansielle oplysninger, abonnementsforhold og kontaktoplysninger samt CPR-nummer. Blandt de berørte er der kunder, som ligeledes har hemmeligt og udeladt nummer og adresse.
Sådan et brud vil indebære en pligt for udbyderen til at underrette de berørte. Dette er dels grundet karakteren af de eksponerede data, samt at bruddet potentielt kan medføre væsentlige konsekvenser for de berørte, idet de risikerer misbrug af de berørtes oplysninger fx til identitetstyveri. Det skal desuden bemærkes, at nogle berørte har hemmeligt og udeladt nummer og adresse. Bliver de berørte underrettet om bruddet, vil de kunne foretage tiltag, som vil kunne minimere de negative følger ved bruddet fx ændre telefonnummer, lave en kreditadvarsel mv.
3.2.1. Hvornår skal underretningen af de berørte finde sted?
Der gælder ikke – som ved underretning til myndigheden – et eksakt krav til, hvornår underretning af abonnenter eller fysiske personer skal ske rent tidsmæssigt. Underretningen skal dog ske uden unødig forsinkelse, efter at bruddet er påvist, og må ikke afhænge af underretningen til myndigheden (Digitaliseringsstyrelsen).
I særlige tilfælde kan underretningen af abonnenten eller den fysiske person udskydes, hvis underretningen kan bringe en nødvendig undersøgelse af bruddet på persondatasikkerheden i fare. Det kan være en strafferetlig efterforskning, men også situationer, hvor det kan være hensigtsmæssigt at udskyde underretningen fx for at kunne fjerne evt. persondata fra internettet.
Eksempel – udsættelse af underretning af berørte
I forbindelse med efterforskningen af en straffesag har politiet fået en retskendelse, der lyder på udlevering af teleoplysninger omkring den, mistænkte i sagen. Politiet anmoder - på baggrund af denne kendelse - den mistænkes teleselskab om at udlevere oplysningerne. På grund af en manuel fejl kommer medarbejderen hos teleselskabet til at udlevere teleoplysninger for en forkert periode. Efter dialog med politiet og Digitaliseringsstyrelsen vurderer teleskabet at vente med at underrette den berørte. Årsagen hertil er, at politiet har oplyst teleselskabet, at underretningen vil kunne bringe deres efterforskning i fare, idet den berørte, er mistænkt i straffesagen. Teleselskabet vil derfor efter aftale med Digitaliseringsstyrelsen først underrette den berørte, når efterforskningen er afsluttet.
Det beror altid på en konkret vurdering af de specifikke omstændigheder, hvorvidt kunden eller brugeren skal underrettes eller ej, da skadevirkningerne kan afhænge af den berørtes eventuelle særlige forhold.
Reglerne om hvornår den berørte skal underrettes fremgår af artikel 3, stk. 2, nr. 5 og betragtning 13 i forordning om underretning.
Hvis udbydere er i tvivl om, hvornår underretning skal ske, kan Digitaliseringsstyrelsen altid kontaktes herom.
3.2.2. Hvilke oplysninger skal underretningen til de berørte indeholde?
Bilag II i forordning om underretning fastlægger, hvilke oplysninger der skal være indeholdt i en underretning af en abonnent eller en fysisk person.
Overordnet set indebærer dette en beskrivelse af bruddet, herunder karakteren af det berørte persondata, hvor og hvornår bruddet fandt sted samt de sandsynlige konsekvenser af bruddet. Derudover skal udbyderen oplyse, hvilke foranstaltninger der er blevet truffet for at stoppe bruddet, og hvilke foranstaltninger udbyderen anbefaler de berørte at iværksætte for at afværge krænkelser af deres persondata. Underretningen skal ligeledes indeholde kontaktoplysninger, så de berørte har mulighed for at kontakte den relevante person/afdeling hos udbyderen for yderligere oplysninger omkring bruddet.
Der henvises til bilag II i forordning om underretning for yderligere oplysninger.
Underretningen skal være udtrykt i et klart og letforståeligt sprog, og oplysningerne om bruddet skal stå alene. Det vil sige, at underretningen ikke må gives sammen med oplysninger om andre emner fx kan en faktura ikke betragtes som et velegnet middel til at underrette om et sikkerhedsbrud. Udbyderne må desuden ikke bruge underretningen til at fremme eller reklamere for nye eller supplerende tjenester. Dette fremgår af artikel 3, stk. 2, nr. 4 i forordningen om underretning – se også betragtning 15 heri.
3.2.3. Hvordan skal de berørte underrettes?
Underretning af abonnenten eller den fysiske person skal ske med kommunikationsmidler, som sikrer en hurtig modtagelse af oplysningerne, og som er sikret i overensstemmelse med aktuelle teknikker. Herved menes det, at udbydere af elektroniske kommunikationstjenester skal vælge den kommunikationsmetode, hvor det er mest sandsynligt, at de berørte hurtigst muligt, modtager underretningen. Kommunikationsformen skal være tidssvarende dvs. være aktuel og udbredt kommunikationsform på det tidspunkt, hvor underretningen skal foretages.
Udgangspunktet er, at abonnenter og fysiske personer skal underrettes direkte og individuelt.
Særligt i forhold til underretning af evt. berørte fysiske personer, der ikke er en given udbyders abonnenter, og som udbyderen derfor ikke har et aftaleforhold med og dermed heller ikke kontaktoplysninger på, kan udbyderen underrette disse personer gennem annoncer i større nationale eller regionale (trykte eller elektroniske) medier i de relevante medlemslande inden for tidsfristen. Dog skal udbyderen bestræbe sig på indenfor rimelighedens grænser at identificere de pågældende fysiske personer og i givet fald hurtigst muligt underrette dem direkte. Se også forordningens artikel 3, stk. 2, nr. 5 og 6 herom.
3.2.4. Undtagelse til underretningspligten
En udbyder kan undlade at underrette berørte abonnenter eller fysiske personer om et brud på persondatasikkerheden, hvis den kompetente nationale myndighed (Digitaliseringsstyrelsen) finder det godtgjort fra udbyderens side, at denne har gennemført passende tekniske beskyttelsesforanstaltninger (fx i form af kryptering el.lign.), og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.
Undtagelsen til underretningspligten af abonnenter eller fysiske personer er reguleret i artikel 4 i forordningen.
4. Kapitel
Information til brugere ved særlig risiko for brud på persondatasikkerheden
Det påhviler udbyderne at informere deres slutbrugere, hvis der er en særlig risiko for brud på persondatasikkerheden. Til forskel fra de situationer, hvor udbyderne skal underrette slutbrugere og fysiske personer om brud på persondatasikkerheden vedrører bestemmelsen den situation, hvor der (endnu) ikke er sket et sikkerhedsbrud, men hvor udbyderen ved, at der er en særlig risiko herfor. Pligten følger af § 4 i persondatasikkerhedsbekendtgørelsen.
Det er særligt vigtigt, at udbyderne informerer slutbrugerne om sikkerhedsrisici, som udbyderen ikke selv har mulighed for at afhjælpe. Dette kan fx være, hvis udbyderen er bekendt med information om risiko for:
- Virusangreb
- Phishing
- Hacking
Udbyderen har i disse tilfælde en pligt til at informere slutbrugerne om følgende:
- Hvordan hændelsen i givet fald kan forebygges
- Hvilke omkostninger der sandsynligvis vil være forbundet hermed
Det betyder med andre ord, at hvis en udbyder bliver bekendt med en særlig risiko for brud på persondatasikkerheden, som kan have betydning for udbyderens kunder, skal udbyderen informere kunderne om risikoen og om, hvad kunderne selv kan gøre for at forebygge, at deres data kompromitteres.
Udbyderne skal over for kunderne oplyse, hvordan de sikrer deres kommunikation, så brud på persondatasikkerheden kan forbygges. Dette er relevant i situationer, hvor risikoen ligger uden for de foranstaltninger, der skal træffes af udbyderen.
Udbyderne kan fx oplyse kunderne om, at de kan sikre deres kommunikation ved:
- At anvende bestemte typer software (fx anti-virus og firewall-programmer)
- At anvende krypteringsteknologier
- At skifte passwords mv., der bruges til log-in
- At foretage sikkerhedskopiering (back up) af data
- Løbende opdatere styresystemer og mailprogrammer
Kravet om at underrette slutbrugere om særlige sikkerhedsrisici fritager ikke udbyderne for pligten til, for egen regning at træffe passende foranstaltninger til at forebygge nye uforudsete sikkerhedsrisici og genoprette det normale sikkerhedsniveau. Der henvises i øvrigt til vejledning om risikostyring for nærmere gennemgang af reglerne om pligten for udbyderne til at træffe passende tekniske og organisatoriske foranstaltninger.