Velkommen til Dansk Industris nye website. Vi udvikler i øjeblikket et nyt site for at give dig den bedste brugeroplevelse. I en periode vil du derfor opleve indimellem at blive sendt til indhold på vores gamle site.

Fra d. 25. maj 2018 skal sikkerhedsbrud indberettes til Datatilsynet i løbet af 72 timer.

Illustration: Belle Djerberg
DI Business Nyheder

Skrappere krav når persondata tabes

Som led i persondataforordningen fra 25. maj bliver det lovpligtigt for virksomheder at indberette, hvis deres data om personer kan være faldet i de forkerte hænder. Det er en god anledning til at få styr på sikkerheden, mener DI.

En  medarbejder mister sin mobiltelefon uden tilstrækkelige sikkerhedsbeskyttelse. En virksomhed udsættes for hackerangreb, der giver indsigt i personoplysninger. Det er to af mange eksempler på sikkerhedsbrud, som fra 25. maj skal indberettes til Datatilsynet i løbet af blot 72 timer.

Læg dertil, at det kan være nødvendigt for virksomheden at underrette flere myndigheder – for eksempel Erhvervsstyrelsen, Center for Cybersikkerhed eller Finans­tilsynet. Og det kan blive en ganske stor opgave.

– Hvis reglerne skal følges til punkt og prikke, bliver det en uoverskuelig opgave for alle implicerede. Virksomheder, ansatte og myndigheder, siger direktør Lars Frelle-Petersen, DI.

Læs også: Systematic beredt på skrappere datakrav

En portal til alle indberetninger

For at lette indberetningen opretter Erhvervsstyrelsen en portal på virk.dk. Indberetningerne overgives til myndighederne, og bruddet bliver eventuelt meldt til politiet.

– Vi har længe efterspurgt en samlet indberetningsløsning af sikkerhedsbrud, og det er vores indtryk, at det kan blive et godt instrument, der også kan bruges til at forbedre myndighedernes betjening og til rådgivning af virksomhederne, når der kommer et overblik over de typiske udfordringer, der fører til et sikkerhedsbrud, siger Lars Frelle-Petersen.

Læs også: Datatilsyn: Bødetrussel skal virke afskrækkende

Uoverskueligt skema

En række virksomheder har testet portalen undervejs. Herunder MT Højgaard, hvor projektleder Preben Bæk Andersen var skeptisk, da han udfyldte formularen.

– Da jeg testede, var der mange spørgsmål og informationer at forholde sig til, som jeg ikke mener giver mening at svare på ved en indberetning inden for kun 72 timer. Eksempelvis skulle man oplyse, hvad man mente, data vil blive misbrugt til, og det vil man kun i sjældne tilfælde have et kvalificeret bud på, på anmeldelsestidspunktet, siger Preben Bæk Andersen.

Vi har brug for at arbejde sammen om at blive bedre til at sikre persondata i Danmark, og en samlet registrering giver et godt datagrundlag for en styrket indsats mod misbrug Preben Bæk Andersen, projektleder, MT Højgaard

Han håber derfor, at Erhvervsstyrelsen får tilpasset portalen og gjort det let for virksomhederne at anmelde sikkerhedsbrud, før den går i luften 25. maj på virk.dk.

– Som udgangspunkt er jeg ubetinget positiv over for, at der arbejdes på en samlet indberetningsløsning. Vi har brug for at arbejde sammen om at blive bedre til at sikre persondata i Danmark, og en samlet registrering giver et godt datagrundlag for en styrket indsats mod misbrug, siger Preben Bæk Andersen.

MT Højgaard har arbejdet med at blive klar til de nye regler i et par år.

– Vi arbejder med tre sikkerhedsbrudskategorier, hvoraf kun de to skal indberettes. Den, hvor der ikke skal indberettes, er, hvor risikoen for misbrug er usandsynlig, forklarer Preben Bæk Andersen og uddyber:

– Det kan eksempelvis være, hvis en medarbejder får stjålet en computer, og vi kan nå at fjernslette data på den. Så er der dem, hvor der er risiko for misbrug, som skal indberettes. Og endelig er der den sidste kategori, hvor vi også skal informere personer eller virksomheder, hvis data kan være blevet misbrugt.

Læs også: Blog: Her går grænsen for persondata

Risiko for bøder

I DI påpeger Lars Frelle-Petersen, at de nye regler er en god anledning for virksomhederne til at gennemgå deres it-sikkerhed.

– Hvis sikkerheden hos virksomheden ikke har været i orden i forbindelse med et sikkerhedsbrud, kan det medføre en ret stor bøde. Virksomhederne bør altså benytte regelstramningen til at gennemgå virksomhedens generelle it-sikkerhed. Ikke bare fordi det i stigende omfang vil blive et krav, at der er styr på sikkerheden, når de har salg til virksomheder, det offentlige og til eksport, men også fordi at it-sikkerhed vil blive et konkurrenceparameter, der skaber tillid hos leverandører, samarbejdspartnere og kunder, siger Lars Frelle-Petersen.

Fakta

Hvilke sikkerhedsbrud skal indberettes?

Virksomheder bevæger sig ind i nyt territorium, når de fra 25. maj skal indberette brud på persondatasikkerheden. Spørgsmålet er, hvornår et brud er så vitalt, at myndighederne skal have besked. Og det kan være vanskeligt at definere.


Ifølge vejledningen fører et sikkerhedsbrud til ”hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret opbevaret eller på anden måde behandlet.”


Det er altså kun, hvis der er reel fare for, at persondata kan falde i de forkerte hænder, at et sikkerhedsbrud skal indberettes. Dog kan man også komme til at skulle indberette, hvis man har mistet persondata, uden at andre har fået fingrene i dem. For eksempel hvis ens systemer slettes, og en backup etableres med gamle og ukorrekte personoplysninger.


Kommer du i tvivl, kan du læse Data­tilsynets vejledning, hvor der også er en række eksempler på hændelser, der skal indberettes.


Du kan også kontakte chefkonsulent i DI Digital Morten Rosted Vang på 3377 707 eller morv@di.dk


Fra 25. maj vil det være muligt at indberette sikkerhedsbrud via virk.dk

Morten Rosted Vang

Chefkonsulent

  • Direkte +45 3377 4707
  • Mobil +45 2291 5081
  • E-mail morv@di.dk
Relateret