En  medarbejder mister sin mobiltelefon uden tilstrækkelige sikkerhedsbeskyttelse. En virksomhed udsættes for hackerangreb, der giver indsigt i personoplysninger. Det er to af mange eksempler på sikkerhedsbrud, som fra 25. maj skal indberettes til Datatilsynet i løbet af blot 72 timer.

Læg dertil, at det kan være nødvendigt for virksomheden at underrette flere myndigheder – for eksempel Erhvervsstyrelsen, Center for Cybersikkerhed eller Finans­tilsynet. Og det kan blive en ganske stor opgave.

– Hvis reglerne skal følges til punkt og prikke, bliver det en uoverskuelig opgave for alle implicerede. Virksomheder, ansatte og myndigheder, siger direktør Lars Frelle-Petersen, DI.

Læs også: Systematic beredt på skrappere datakrav

En portal til alle indberetninger

For at lette indberetningen opretter Erhvervsstyrelsen en portal på virk.dk. Indberetningerne overgives til myndighederne, og bruddet bliver eventuelt meldt til politiet.

– Vi har længe efterspurgt en samlet indberetningsløsning af sikkerhedsbrud, og det er vores indtryk, at det kan blive et godt instrument, der også kan bruges til at forbedre myndighedernes betjening og til rådgivning af virksomhederne, når der kommer et overblik over de typiske udfordringer, der fører til et sikkerhedsbrud, siger Lars Frelle-Petersen.

Læs også: Datatilsyn: Bødetrussel skal virke afskrækkende

Uoverskueligt skema

En række virksomheder har testet portalen undervejs. Herunder MT Højgaard, hvor projektleder Preben Bæk Andersen var skeptisk, da han udfyldte formularen.

– Da jeg testede, var der mange spørgsmål og informationer at forholde sig til, som jeg ikke mener giver mening at svare på ved en indberetning inden for kun 72 timer. Eksempelvis skulle man oplyse, hvad man mente, data vil blive misbrugt til, og det vil man kun i sjældne tilfælde have et kvalificeret bud på, på anmeldelsestidspunktet, siger Preben Bæk Andersen.

Han håber derfor, at Erhvervsstyrelsen får tilpasset portalen og gjort det let for virksomhederne at anmelde sikkerhedsbrud, før den går i luften 25. maj på virk.dk.

– Som udgangspunkt er jeg ubetinget positiv over for, at der arbejdes på en samlet indberetningsløsning. Vi har brug for at arbejde sammen om at blive bedre til at sikre persondata i Danmark, og en samlet registrering giver et godt datagrundlag for en styrket indsats mod misbrug, siger Preben Bæk Andersen.

MT Højgaard har arbejdet med at blive klar til de nye regler i et par år.

– Vi arbejder med tre sikkerhedsbrudskategorier, hvoraf kun de to skal indberettes. Den, hvor der ikke skal indberettes, er, hvor risikoen for misbrug er usandsynlig, forklarer Preben Bæk Andersen og uddyber:

– Det kan eksempelvis være, hvis en medarbejder får stjålet en computer, og vi kan nå at fjernslette data på den. Så er der dem, hvor der er risiko for misbrug, som skal indberettes. Og endelig er der den sidste kategori, hvor vi også skal informere personer eller virksomheder, hvis data kan være blevet misbrugt.

Læs også: Blog: Her går grænsen for persondata

Risiko for bøder

I DI påpeger Lars Frelle-Petersen, at de nye regler er en god anledning for virksomhederne til at gennemgå deres it-sikkerhed.

– Hvis sikkerheden hos virksomheden ikke har været i orden i forbindelse med et sikkerhedsbrud, kan det medføre en ret stor bøde. Virksomhederne bør altså benytte regelstramningen til at gennemgå virksomhedens generelle it-sikkerhed. Ikke bare fordi det i stigende omfang vil blive et krav, at der er styr på sikkerheden, når de har salg til virksomheder, det offentlige og til eksport, men også fordi at it-sikkerhed vil blive et konkurrenceparameter, der skaber tillid hos leverandører, samarbejdspartnere og kunder, siger Lars Frelle-Petersen.