Sikkerhedsbrud, persondata
Hvad skal anmeldes?
Det skal tab af personoplysninger og uautoriseret videregivelse, ændring af eller adgang til personoplysninger.
Eksempler herpå kunne være:
- Andre personer end lægen eller de personer lægen har autoriseret til det, får adgang til personoplysninger, f.eks. patienters medicinoplysninger, diagnoser eller CPR-oplysninger
- Der ændres eller slettes personoplysninger ved et uheld
- Der udleveres ubevidst eller bevidst personoplysninger om en patient til en eller flere uvedkommende personer
Hvis du vurderer at et brud med stor sandsynlighed ikke får konsekvenser for patienter/borgeres rettigheder, behøver du ikke anmelde bruddet. Sandsynligheden for at et brud kan få konsekvenser afhænger af, hvilken type persondata bruddet omhandler. Er der tale om personfølsomme oplysninger, skal anmeldelse og underretning altid finde sted.
Hvad er personfølsomme oplysninger?
Disse oplysninger er personfølsomme:
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
- Genetiske data
- Biometriske data med henblik på entydig identifikation
- Race og etnisk oprindelse
- Politisk overbevisning
- Religiøs eller filosofisk overbevisning
- Fagforeningsmæssige tilhørsforhold
Underretning af de berørte
Ud over at anmelde bruddet, er du, hvis bruddet ”indebærer en høj risiko for fysiske personers rettigheder eller frihedsrettigheder”, forpligtet til at underrette de personer hvis data er berørt. Formålet hermed er at give de berørte mulighed for at træffe de nødvendige forholdsregler.
Underretningen skal som minimum:
- Beskrive hvad der er sket
- Angive hvor yderligere oplysninger kan indhentes
- Beskrive de sandsynlige konsekvenser
- Beskrive de foranstaltninger som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet og begrænse dets mulige skadevirkninger
Hvis det er relevant, bør du også give den/de berørte specifikke råd om, hvordan de kan beskytte sig mod mulige negative konsekvenser af bruddet.
Sproget i underretningen skal tage hensyn til modtagerens modersmål, sprogkundskaber, alder mv.
Underretning kan finde sted via e-mail, brev, sms eller lignende. En underretning, der begrænser sig til en pressemeddelelse eller et opslag på klinikkens hjemmeside vil typisk ikke være tilstrækkelig. Underretningen må heller ikke sendes sammen med anden information, så som nyhedsbreve eller i en eksisterende e-kons.
Krav til dokumentation
Det er altid godt at dokumentere, men særligt hvis du vurderer at anmeldelse ikke er nødvendig, eller at berørte personer ikke behøver at blive underrettet, skal du dokumentere begrundelserne for disse væsentlige beslutninger.
Krav til dokumentation:
- Dato og tidspunkt for bruddet
- Hvad skete der i forbindelse med bruddet?
- Hvad er årsagen til bruddet?
- Hvilke personoplysninger er omfattet af bruddet?
- Hvilke konsekvenser har bruddet for de berørte personer?
- Hvilke afhjælpende foranstaltninger er truffet?
- Redegørelse for hvorfor anmeldelse ikke er sket
- Redegørelse for hvorfor berørte personer ikke er underrettet
Hvornår skal jeg anmelde?
Den dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer foretage anmeldelse af bruddet. Anmeldelsen kan eventuelt ske trinvist efterhånden som bruddet og dets omfang konstateres.
Hvor skal jeg anmelde?
Indberetning af brud på sikkerhed foretages på elektronisk blanket her: Indberetning af brud på sikkerhed på Virk.dk. Når du indberetter her, bliver dine oplysninger automatisk sendt videre til relevante myndigheder. Du skal altså kun indberette én gang ét sted.
Husk at downloade en kopi af blanketten, når du har sendt den. Alle data slettes i systemet efter 30 dage, og så er kopien dit bevis på, at du har sendt en indberetning.
Support
Har du brug for hjælp udfyldelse af blanketten på virk.dk, kan du ringe til Datatilsynet på tlf. 6163 0444. Alternativt kan Erhvervsstyrelsens kundecenter også hjælpe: Telefon 7873 2770
Yderligere oplysninger
Du kan finde uddybende oplysninger i Datatilsynets Vejledning om håndtering af brud på persondatasikkerheden
Indholdsansvarlig
Datakonsulenten