Anmeldelse af brud på persondatasikkerhed: Det Europæiske Databeskyttelsesråd (EDPB) sendte den 14. januar 2021 en ny vejledning om anmeldelse af brud på persondatasikkerheden i høring. Høringsperioden sluttede den 2. marts 2021.
Ifølge persondataforordningens artikel 33 skal brud på persondatasikkerheden anmeldes til den kompetente tilsynsmyndighed senest 72 timer efter den dataansvarlige bliver bekendt med sikkerhedsbruddet.
Den nye vejledning fra EDPB er praktisk orienteret og beskriver med en case-baseret tilgang, hvordan dataansvarlige skal vurdere brud på persondatasikkerheden. Vejledningen gennemgår 18 ”typiske” eksempler på sikkerhedsbrud gennemgået med konkret vejledning til, hvordan sådanne typer sikkerhedsbrud skal vurderes, om de skal anmeldes til den kompetente tilsynsmyndighed og om de registrerede skal underrettes.
Vejledningens 18 cases omhandler blandt andet ransomware- og malwareangreb, interne menneskelige fejl, mistet eller stjålet udstyr og dokumenter samt fejlsending af bl.a. e-mails til forkerte modtagere. Fælles for disse hændelser er, at de afspejler typeeksemplerne på sikkerhedsbrud, som er omfattet af reglerne i persondataforordningen.
Vejledningen fra EDPB er i nuværende stund kun tilgængelig på engelsk og kan læses her.
Hvad er et sikkerhedsbrud?
Et sikkerhedsbrud er i persondataforordningen defineret som, ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
Grundlæggende kan brud på persondatasikkerheden opdeles i tre kategorier; 1) brud på fortrolighed, 2) brud på tilgængelighed eller 3) brud på integritet.
Et brud på fortroligheden indebærer uautoriseret eller utilsigtet videregivelse af eller adgang til personoplysninger. Et brud på tilgængeligheden indebærer uautoriseret eller utilsigtet tab af adgang til eller sletning af personoplysninger. Et brud på integriteten indebærer uautoriseret eller utilsigtet ændring af personoplysninger.
Den dataansvarliges forpligtelser – anmeldelse og underretning
Efter persondataforordningen (art. 33) er den dataansvarlige forpligtet til at dokumentere alle sikkerhedsbrud og til at foretage anmeldelse af sikkerhedsbrud til Datatilsynet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Hertil kommer, at den dataansvarlige er forpligtet til at underrette den/de registrerede om sikkerhedsbruddet, såfremt sikkerhedsbruddet medfører en høj risiko for den/de registreredes rettigheder (persondataforordningen art. 34).
En anmeldelse af et sikkerhedsbrud skal blandt andet indeholde:
- En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger.
- Angivelse af navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes.
- En beskrivelse af de sandsynlige konsekvenser af bruddet.
- En beskrivelse af de foranstaltninger den dataansvarlige har truffet eller forventer at træffe for at håndtere bruddet og begrænse skadevirkninger heraf.
Hvis ikke det er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.
Typeeksempler for brud på persondatasikkerheden
I det følgende gennemgås 5 eksempler på sikkerhedsbrud, der behandles i EDPB’s vejledning.
Ransomware-angreb
Ved et ransomware-angreb forstås et angreb mod en virksomhed, hvor en person indfører skadelig kode i virksomhedens systemer, der krypterer de personoplysninger, som virksomheden har opbevaret. Angriberen forlanger derefter en løsesum mod frigivelse af oplysningerne.
Denne form for angreb defineres som et brud på tilgængelighed og ofte også som et brud på fortroligheden.
Sandsynligheden for et succesfuldt ransomware-angreb mindskes drastisk ved at implementere passende og opdaterede sikkerhedsforanstaltninger. Vejledningen foreslår specifikt patch management, hvor sårbarheder og sikkerhedsmæssige huller løbende og automatisk gennemprøves i et system, som en effektiv foranstaltning mod ransomware. Derudover understreges betydningen af separate back-ups, således at de angrebne data fortsat er tilgængelige i tilfælde af et angreb.
Det er afgørende for, at en dataansvarlig korrekt kan vurdere risici forbundet med denne form for sikkerhedsbrud, at den skadelige kode kan identificeres. Et angreb kan således have til formål at udtrække/eksfiltrere oplysninger, uden det fremgår af logs. I det omfang den dataansvarlige har gennemført passende kryptering af lagrede personoplysninger, vil det kun udgøre en minimal risiko for de registrerede, hvis bagmændene bag et ransomware-angreb lykkes med at udtrække personoplysninger, da det i sådanne tilfælde ikke vil være læsbart. Et andet angreb kan have til formål at afholde en virksomheden fra at kunne tilgå dennes data, hvorfor det kan være afgørende, at virksomheden har separate back-ups.
Tilsvarende kan separate back-ups i tilfælde af et brud på tilgængeligheden minimere risiciene for de registrerede, da den blokerede adgang til personoplysningerne ikke står alene, og genoprettelse af data kan ske hurtigt og effektivt. I modsat tilfælde, hvor der ikke findes en (elektronisk) back-up, kan bruddet være mere alvorligt, da det fx kan medføre et økonomisk tab for de registrerede, såsom at der fx forekommer forsinkelser med betalinger, fordi data først skal genoprettes.
Det klare udgangspunkt er, at et ransomware-angreb altid skal anmeldes til Datatilsynet, medmindre man som dataansvarlig efter en dokumenteret undersøgelse kan fastslå, at de etablerede sikkerhedsforanstaltninger har afbødetangrebet uden risiko for de registrerede. Dette kræver dog, at den dataansvarlige er fortrolig ikke bare med sine sikkerhedsforanstaltninger, men også angrebets detaljer og disses virkning på hinanden.
Hvis der foreligger usikkerheder vedrørende omfanget eller de specifikke forhold ved et ransomware-angreb, skal man antage de værst tænkelige konsekvenser ved risikovurderingen.
Underretning til de registrerede, som er omfattet af sikkerhedsbruddet, vil være uundgåeligt, hvis personoplysninger skal indsamles på ny hos de registrerede i mangel af back-up, eller hvis der i øvrigt vurderes at være en høj risiko forbundet med sikkerhedsbruddet.
Uanset udfaldet af den pågældende vurdering, skal sikkerhedsbruddet og konsekvenserne heraf samt beslutning om ikke at anmelde dette til Datatilsynet dokumenteres.
Eksfiltrerende angreb af data (Malware-angreb)
Ved et malware-angreb forstås et angreb, der udnytter en svaghed i en service udbudt af den dataansvarlige til en tredjepart over internettet, hvorefter personoplysninger bliver kopieret, eksfiltreret eller misbrugt med skadeligt formål. Dette kan bl.a. ske ved, at der bliver indført skadelig kode (malware), som kopierer data over til bagmændenes servere eller foretager ændringer i den tilgængelige data. Denne type af sikkerhedsbrud klassificeres derfor som brud på fortroligheden og/eller brud på integriteten.
Tilsvarende er det for denne type af sikkerhedsbrud også vigtigt at få kendskab til, hvilke metoder, der er anvendt, og hvad de specifikke omstændigheder ved angrebet er, forinden man kan lave en korrekt vurdering af anmeldelses- og underretningspligten.
EDBP anfører i vejledningen, at det vil være særligt alvorligt, hvis et angreb kan eksfiltrere loginoplysninger til en fx netbank eller tilsvarende, da det miljø og de tilgængelige oplysninger heri udgør en langt større risiko for de registrerede, hvis det bliver misbrugt – fx økonomisk tab for de registrerede – hvorfor den dataansvarlige bør underrette disse.
Sandsynligheden for et succesfuldt malware-angreb mindskes tillige drastisk ved at implementere passende og opdaterede sikkerhedsforanstaltninger, såsom etablering af to-faktor-bekræftelse for at styrke sikkerheden forbundet med login og gennemførsel af penetrerende test på sikkerhedssystemet, så sandsynligheden for at opdage ”huller” optimeres.
Interne menneskelige fejl og misbrug
Den tredje typekategori er interne menneskelige fejl og bevidst misbrug, eksempelvis en medarbejders kopiering af personoplysninger, der var tilgængelige for vedkommende under dennes ansættelse. Dette vil oftest være klassificeret som et brud på fortroligheden, da der netop er tale om uautoriseret adgang og brug af personoplysningerne efter ansættelsesforholdet et endt.
Det er i en sådan situation særligt svært at undgå sikkerhedsbruddet, når der har været en legitim adgang for medarbejderen af kunne tilgå oplysningerne under ansættelsen.
Et sådant misbrug fra en tidligere ansat vil udgøre en risiko for de registrerede (typisk kunder), og den dataansvarlige vil derfor være forpligtet til at underrette Datatilsynet om bruddet, men som udgangspunkt ikke forpligtet til at underrette de registrerede. Det kan dog af andre grund, herunder fx den dataansvarliges omdømme, være fordelagtigt at oplyse de registrerede om bruddet, selvom dette ikke nødvendigvis er påkrævet, da der er en risiko for, at de registrerede selv opdager sikkerhedsbruddet, fx fordi de registrerede bliver kontaktet af den tidligere ansatte.
Ved sikkerhedsbrud forårsaget af menneskelige fejl anbefales det, at der indføres procedurer, som sikrer, at medarbejdere får den fornødne træning og uddannelse i de persondataretlige regler, og at medarbejderne opfordres til at vise ekstra omhu, når de behandler personoplysninger. Tilsvarende kan en dataansvarlig overveje at anvende kundeklausuler og adgangslogs som redskaber til at imødegå et incitament til at kopiere kundeoplysninger.
Mistet eller stjålet udstyr og dokumenter
Mistet eller stjålet IT-udstyr og dokumenter udgør en af de hyppigste former for sikkerhedsbrud. Her er der tale om et brud på persondatasikkerheden, hvis der er opbevaret ukrypterede personoplysninger på udstyret.
Det kan være særligt svært at vurdere risiciene forbundet med sådanne sikkerhedsbrud, da dette kræver et fuldkomment overblik over, hvad indholdet var af det mistede udstyr.
Herudover har det betydning for vurderingen,
- om den dataansvarlige har en back-up af udstyret,
- om det pågældende udstyr er krypteret,
- om udstyret er låst med kodeord, og
- om det er muligt at ”rense” udstyret på afstand.
Alt afhængig af den dataansvarliges brug af de ovenstående foranstaltninger, kan risikoen afbødes, hvilket kan medføre, at det ikke vil være nødvendigt at anmelde hændelsen.
Er der tale om fysiske dokumenter, der enten mistes eller bliver stjålet, vil andre sikkerhedsforanstaltninger skulle anvendes for at minimere risiciene ved et sikkerhedsbrud. Pseudonymisering og aflåsning af dokumenter sammenkoblet med en adgangskontrol hertil er et eksempel på mulige sikkerhedsforanstaltninger.
Fejlsending
Fejlsending af e-mails, som indeholder personoplysninger, udgør et brud på persondatasikkerheden.
Det er svært helt at eliminere risikoen for at sende en e-mail til en forkerte modtager, men EDBP understreger, at det er vigtigt at forebygge sådanne hændelser så godt som muligt. Dette kan blandt andet gøres ved at træne og uddanne medarbejdere i korrekt håndtering af personoplysninger, herunder at håndtere fejlsending af oplysninger.
Hvis man sender personoplysninger til en forkert modtager, er det afgørende, at den forkerte modtager bliver kontaktet på ny, og at modtageren bekræfter sletning af den fejlsendte e-mail.
I vejledningen angiver EDBP, at der ved fejlsending af e-mails, som indeholder få almindelige personoplysninger, såsom kontaktoplysninger, og hvor sletning hurtigt bliver bekræftet, ikke er pligt til at anmelde dette til tilsynsmyndighederne.
Modsat vil det ofte være nødvendigt at anmelde sikkerhedsbruddet, hvis en større mængde personoplysninger inklusiv særlige kategorier af personoplysninger eller fortrolige oplysninger, fx CPR-nummer, bliver sendt til en/flere forkerte modtagere. Årsagen til dette er, at man kun kan bede den forkerte modtager om at slette personoplysningerne, men ikke kan gennemtvinge eller på anden måde garantere dette, hvorfor risiciene for de berørte registrerede, ikke kan fjernes fuldstændigt.
CLEMENS’ bemærkninger
EDPB har fokus på konkrete sikkerhedsforanstaltninger og disses betydning for risiciene i forbindelse med forskellige typer sikkerhedsbrud. Dette gør vejledningen til et godt praktisk værktøj i forhold til såvel etablering af sikkerhedsforanstaltninger som vurdering af, om den dataansvarlige har pligt til at anmelde sikkerhedsbruddet til tilsynsmyndighederne og underrette de registrerede.
Er man som virksomhed ude for en af de typer af sikkerhedsbrud, der er gennemgået i vejledningen, vil der være inspiration at hente i vejledningen. Det er dog vigtigt at have for øje, at der altid skal foretages en konkret vurdering af et sikkerhedsbrud, idet de konkrete omstændigheder, foranstaltninger mv. skal vurderes i forhold til det enkelte sikkerhedsbrud.
Vejledningen fra EDPB er desuden et godt supplement til Datatilsynets Vejledning om håndtering af brud på persondatasikkerheden.
Har du spørgsmål til vejledningen fra EDPB eller i øvrigt brug for hjælp til håndteringen af sikkerhedsbrud, så står vores specialiserede persondataretsteam altid klar til at hjælpe.