Hvordan skal man opføre sig i tilfælde af databrud?

Først og fremmest skal du ikke gå i panik og altid sørge for at have dit håndklæde med dig.

Det skete endelig. Der var en fejl i dit system, og nogen udnyttede det til at udføre det, der i jargon kaldes en bruddet. Et brud på persondatasikkerheden. Bare rolig, det er ikke et usædvanligt fænomen. De heldigste støder på denne eventualitet mindre end én gang om året, men i en verden, der udvikler sig lige så hurtigt som internettet, kan det ske, at denne eventualitet bliver meget hyppigere. Mens du prøver ikke at gå i panik, opfordrer vi dig til at holde dig til tommelfingerreglen: for at håndtere et brud, skal du følg indikationerne i den europæiske forordning 16/679 (GDPR), som giver vejledning i, hvad man skal gøre, hvis der opstår et databrud.

Hvad er et databrud?

Brud på persondatasikkerheden er af 6 typer, og hver af disse kan være frivillige eller tilfældige baseret på hvorfor det skete:

• Uautoriseret adgang. Nogen kunne ikke have adgang til visse oplysninger, men alligevel havde de det. Hvis dette var en fejl, kan du have sendt et vigtigt dokument til én person i stedet for en anden. Det var et uheld, men det er stadig et databrud. Men i tilfælde af, at du har gjort uautoriseret adgang til en persons data, kan denne begivenhed blive spionage.
• Uautoriseret kopi. Nogen tog nogle data, der ikke tilhørte dem, og kopierede dem til sig selv. Dette kunne være en ulykke, hvis en kollega besluttede at udskrive et dokument, de ikke burde have, for bedre at kunne kompilere et arbejdsdokument. I tilfælde af frivillig kopiering med mindre klare formål, kan det være tyveri.
• Uventet afsløring. Nogen lækker ved et uheld data, der af en eller anden grund ikke burde være online. Eksempelvis frigives et billede af en vigtig kunde på virksomhedens Facebook-profil. I tilfælde af svindel kaldes denne operation spredning.
• Uautoriseret ændring. Nogen ændrede nogle data, selvom de ikke kunne gøre det. Hvis det skete ved en fejl, er det det her. Ellers kunne det være manipulation af en hacker eller en angriber.
• Tab af adgang. Nogen mister information, og den er ikke længere tilgængelig. At glemme din computeradgangskode er en overtrædelse, vidste du det? Og hvis det blev gjort med vilje, bliver det kryptering.
• Sletning af data. Nogen sletter følsomme data. Hvis dette er sket ved en fejl, er det en overtrædelse. Men i tilfælde af at annulleringen er frivillig, medfører det data ødelæggelse.

Krænkelse af personlige data: hvordan skal man opføre sig?

Se venligst artikel 33 og 34 i GDPR. Disse to artikler henviser til den europæiske forordning, som søger at angive de procedurer, der skal følges i tilfælde af et databrud. Artikel 33 omhandler den interne ledelse af virksomheden og forholdet til Garanten, mens artikel 34 omhandler ledelsen med de interesserede parter eller de personer, hvis personoplysninger vi har.

Det er vigtigt at præcisere det databruddet skal altid registreres e, i givet fald meddeles til Garanten som anført i artikel 33. Heri står også, at den dataansvarlige i tilfælde af en krænkelse skal underrette tilsynsmyndighederne inden for 72 timer efter at have fået kendskab hertil, især hvis dette udgør en risiko for fysiske personers rettigheder og frihedsrettigheder. Databehandlerne (lønfirma, revisor, systemanalytikere...) skal underrette den dataansvarlige.

Hvis du beslutter dig for at underrette Garanten, har han brug for oplysninger: arten af ​​krænkelsen, antallet af involverede personer, kontraktdata fra databeskyttelsesrådgiveren, mulige konsekvenser af overtrædelsen og eventuelle foranstaltninger, der er truffet eller skal træffes.

Virksomheden har dog en forpligtelse til kommunikere alt, hvad der sker, uanset om krænkelserne er utilsigtede eller forsætlige, og påtager sig ansvar (ansvarlighed).

Ansvaret?

virksomheden skal være ansvarlig, kompetent og bevidst om, hvad der sker i dets miljøer og systemer. Virksomheden skal demonstrere sin evne til at løse problemet proaktivt og demonstrere, at den har værktøjerne til at dæmme op for konsekvenserne af databruddet. Dette gøres ved at levere beviser og data – og ved at tilbyde dig at tilbyde Garanten en vished om, at det skete aldrig vil ske igen. I tilfælde af manglende "ansvarlighed" pålægges en bøde.

Hvilke overtrædelser skal meddeles til Garanten?

Kun frivillige overtrædelser og ikke utilsigtede overtrædelser meddeles Garanten. Den dataansvarlige skal beslutte, om han eller ej, i ansvarlighedslogikken, skal underrette, hvis databruddet kan forårsage skade på enkeltpersoners rettigheder og frihed. L'ENISA (The European Union Agency for Cybersecurity) har oprettet en metode til beregning af risiko om personers frihed over for en krænkelse. Denne metode kan også anvendes i virksomheden.

Hvordan ved du, om der har været en overtrædelse?

Overtrædelsen skal forstås som reelt opdaget. Dette er muligt, hvis der er tilstrækkelig uddannelse i virksomheden til at vurdere risikoen og forstå eventuelle skader. Kort sagt, du har ikke brug for en ingeniør, der kommer ind på scenen i to måneder i et forsøg på at vurdere de mulige skader på et tabt flashdrev: du har brug for et kursus, der hjælper det tilgængelige personale med at forstå omfanget af skaden uden at tilføje til omkostningerne allerede vigtig forvaltning. Enkelt sagt skal personalet trænes i, hvad et brud indebærer, og i at kommunikere proceduren til de registrerede rettidigt.

Artikel 34 fortæller os, at den dataansvarlige må ikke kommunikere overtrædelsen til den registrerede hvornår:

• Der er truffet passende tekniske og organisatoriske foranstaltninger, men med en meddelelse til Garanten og bevis for ansvarlighed.
• Den har vedtaget foranstaltninger for at undgå en høj risiko for databrud.
• Offentliggørelse kan undlades, hvis det kræver en uforholdsmæssig indsats – i dette tilfælde skal det erklæres offentligt!

Databrud sker. Men hvordan tror du, du kan klare det?