PROTOKOL ANMELDINGSPLIGT DATALEKKER

PROTOKOL ANMELDINGSPLIGT DATALEKKER

Overvejelser:

CalmActiva lægger vægt på en god sikring af sine (elektroniske) systemer, hvor personoplysninger er gemt og behandlet

det kan trods alt aldrig helt undgås, at der vil finde et databrud sted

CalmActiva er i henhold til den generelle databeskyttelsesforordning (GDPR) forpligtet til at anmelde (alvorlige) databrud til Datatilsynet og til de berørte

CalmActiva ønsker at overholde sine lovmæssige forpligtelser

CalmActiva har derfor formuleret en politik for at handle så adekvat som muligt, hvis der uventet skulle opstå et databrud.

1 - Definition af databrud

Der er tale om et databrud, hvis der sker et sikkerhedsbrud, der ved et uheld eller på ulovlig vis fører til ødelæggelse, tab, ændring eller uautoriseret videregivelse af eller uautoriseret adgang til overførte, gemte eller på anden måde behandlede data.

2 - Interne ansvarlige for indberetning af databrud

CalmActiva har udnævnt interne ansvarlige for behandling af databrud, som er ansvarlige for anmeldelse af et databrud.

  1. 1.Disse ansvarlige er: Dirk Verburg, telefonnummer: 0624523564; e-mailadresse: info@calmactiva.com. nl og hvis denne ikke er tilgængelig Yvo Langhoor, telefonnummer: 0650589123; e-mailadresse: linfo@calmactiva.com, herefter kaldet: ‘intern ansvarlig.
  2. Hvis muligt, sørger den, der har opdaget databruddet, samtidig for, at de lækkede data straks bliver slettet eller gjort utilgængelige på afstand.
  3. Intern meddelelse ved opdagelse af et databrud
Den, der opdager et databrud hos CalmActiva, skal straks rapportere dette til den interne ansvarlige. Hvis det er muligt, skal den, der har opdaget databruddet, samtidig sørge for, at de lækkede data straks bliver slettet eller gjort utilgængelige.

4 - Undersøgelse af den interne ansvarlige            

Den interne ansvarlige undersøger blandt andet:

om der er personoplysninger, der er gået tabt, eller der er blevet brugt ulovligt, hvem eller hvilke afdelinger inden for organisationen der er involveret i databruddet, eller om der er en databehandler involveret i hændelsen

5 - Bekæmpelse af datalæk

Den interne ansvarlige stopper databruddet, hvis det stadig er muligt, og tager desuden de nødvendige foranstaltninger for at bekæmpe databruddet så godt som muligt.

6 - Fastlæggelse af konsekvenserne af et databrud

Den interne ansvarlige undersøger de mulige konsekvenser af databruddet baseret på arten og omfanget af de data, der er lækket, og fastslår, hvad de negative konsekvenser for de berørte kan være.

7 - Samarbejde om at give oplysninger om databruddet. Opdageren/melderen af databruddet yder al mulig samarbejde til den interne ansvarlige ved så hurtigt og så godt som muligt (skriftligt) at svare på følgende spørgsmål:

  • hvad er der sket? (beskrivelse af hændelsen)
  • skete det ved en fejl, eller er det forårsaget af ond hensigt (tænk på hackede data)? hvornår skete det? (dato og tidspunkt)
  • hvornår blev det opdaget?
  • hvilke data (registre) er lækket? er dataene krypteret, og i så fald hvordan?
  • kunne data på afstand blive slettet eller gjort utilgængelige, og i så fald, er det sket? hvad er de mulige konsekvenser for de involverede?
  • hvilke gruppe(r) af personer er/er blevet ramt af dette? (for eksempel: elever, patienter, premium medlemmer) hvor mange personer er (omtrent) blevet ramt af dette?
  • er der også oplysninger om personer i andre EU-lande, der er berørt af databruddet?
  • kunne der allerede træffes tekniske og/eller organisatoriske foranstaltninger som følge af hændelsen?

8 - Tilgængelighed af personale efter opdagelse af databrud

Den ansvarlige for den afdeling, hvor databruddet har fundet sted, samt opdageren af databruddet og alle, der fra deres funktion eller viden er i stand til at træffe organisatoriske og/eller tekniske foranstaltninger for at begrænse konsekvenserne af databruddet, står til rådighed i de første 24 timer efter opdagelsen af databruddet for drøftelse med den interne ansvarlige eller eventuelt af ham udpegede eksperter og for om nødvendigt at udføre pålagte opgaver som følge af databruddet.

9 - Beslutning om meddelelse af databrud

  1. Den interne ansvarlige beslutter så hurtigt som muligt, men under alle omstændigheder inden for 60 timer efter opdagelsen af databruddet - eventuelt i samråd med den ansvarlige for den afdeling, hvor databruddet er opdaget, og/eller af ham udpegede eksperter - om databruddet skal rapporteres til Datatilsynet og/eller de berørte.
  2. Et databrud bliver som udgangspunkt altid meldt til Datatilsynet, medmindre det ikke er sandsynligt, at databruddet udgør en risiko for rettighederne og frihederne for de berørte.
  3. Meddelelsen om databruddet ledsages af besvarelsen af de spørgsmål som beskrevet i afsnit 7.
  4. Et databrud, der er blevet rapporteret til Datatilsynet, vil også blive rapporteret til de berørte, hvis det indebærer en høj risiko for rettighederne og frihederne for fysiske personer, medmindre der i mellemtiden er truffet passende foranstaltninger, der har afværget den høje risiko.

10 - Meddelelse om databrud til Datatilsynet og/eller berørte personer

  1. Den interne ansvarlige sørger om nødvendigt for anmeldelsen til Datatilsynet og/eller den berørte(e).
  2. Meldingen skal ske så hurtigt som muligt efter opdagelsen og senest inden for 72 timer efter opdagelsen af databruddet.
  3. Det er ikke tilladt for andre medarbejdere end den interne ansvarlige at anmelde (mulige) databrud direkte til Datatilsynet og/eller de berørte.
  4. Hvis en medarbejder ikke er enig i beslutningen fra den interne ansvarlige om, hvorvidt databruddet skal rapporteres til Datatilsynet og/eller de berørte, kan han gøre sine klager bekendt for ledelsen.

Hvis der anmodes herom, yder en medarbejder al nødvendig bistand til den ansvarlige for at kunne informere de berørte personer i overensstemmelse med artikel 34 GDPR om databruddet.

5.

11 - Konsekvenser af meddelelse om databrud

Hvis databruddet har negative konsekvenser for de berørte, vil den interne ansvarlige gøre alt for at begrænse disse konsekvenser så meget som muligt.

1.

  1. Afhængigt af arten og omfanget af databruddet for de berørte bestemmer den interne ansvarlige: hvordan de berørte informeres (herunder i hvert fald meddelelser om, hvilke typer personoplysninger der er berørt, hvad de mulige konsekvenser er, hvilke foranstaltninger Calma Activa tager, og hvordan de berørte selv kan forhindre eller begrænse skaden)

hvilken opfølgning de involverede får

hvilke handlinger der er nødvendige i organisationens interesse

Hvis der er sket et databrud - uanset om det er blevet rapporteret eller ej - vil der hurtigst muligt blive truffet passende tekniske og/eller organisatoriske foranstaltninger for at forhindre fremtidige lignende databrud.

3.

12 - Føre register over databrud

Den interne ansvarlige fører et register over alle databrud, hvor alle oplysninger omkring databruddet registreres, såsom:

  • en beskrivelse af hændelsen dato og tidspunkt for databruddet
  • dato og tidspunkt for opdagelsen af databruddet?
  • beskrivelse af arten af lækkede personoplysninger
  • beskrivelse af de kategori(er) af berørte personer, der er ramt
  • beskrivelse antal involverede (omtrentligt)
  • eller også er oplysninger om personer i andre EU-lande lækket