Underretning af den registrerede ved brud på persondatasikkerheden

Underretning af den registrerede ved brud på persondatasikkerheden

Hvis man som dataansvarlig konstaterer et brud på persondatasikkerheden, skal man foretage en vurdering af, hvorvidt den registrerede skal underrettes om bruddet. Hvis denne vurdering falder ud til, at bruddet indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige underrette den registrerede om bruddet.

Det er vigtigt, fordi underretningen giver den registrerede mulighed for at træffe de fornødne forholdsregler i tilfælde af, at der er sket en kompromittering af vedkommendes personoplysninger.

Både offentlige myndigheder og private virksomheder og organisationer vil med databeskyttelsesforordningen skulle foretage en vurdering af den risiko for den registreredes rettigheder, som vil være forbundet med et givent brud på persondatasikkerheden.

Oplever man som dataansvarlig et brud på persondatasikkerheden, som indebærer en høj risiko for den registreredes rettigheder og frihedsrettigheder, er man forpligtet til at underrette den registrerede om bruddet uden unødig forsinkelse, jf. databeskyttelsesforordningens artikel 34.

Hvad vil det sige at foretage en vurdering

Der findes ikke i databeskyttelsesforordningen en definition af begrebet ”høj risiko”. Det forudsættes dog, at jo mere alvorlige konsekvenser bruddet kan medføre, jo større vil risikoen være for de berørte personer. Tilsvarende vil en større sandsynlighed for, at et brud vil få konsekvenser for de registrerede ligeledes indebære en større risiko.

Er det således helt sikkert eller næsten helt sikkert, at bruddet vil få konsekvenser for den registrerede, skal man som dataansvarlig underrette denne. Underretningen skal ligeledes ske, hvis de mulige konsekvenser er meget alvorlige, uanset hvor lille sandsynligheden for konsekvensernes indtræden er.

Som dataansvarlig bør man tage alle de mulige konsekvenser og negative virkninger i betragtning. Dette omfatter således også de eventuelle ”sekundære” konsekvenser for de registrerede. En sekundær konsekvens vil f.eks. kunne opstå i forbindelse med et læk af adgangskoder til en konto, idet mange brugere anvender samme adgangskode på forskellige konti. Bruddet vil således også medføre brud på fortroligheden i forbindelse med en anden konto.

Vurderingen bør ligeledes indeholde en stillingtagen til personoplysningernes karakter og antallet af uberettiget modtagere.

Hvornår kan den dataansvarlige undlade at underrette

Der er en række situationer, hvor man som dataansvarlig kan undlade at underrette den registrerede.

Bruddet ikke indebærer en høj risiko for den registrerede.

Her tænkes bl.a. på situationen, hvor man i en mindre forening sender en fælles mail til modtagerne med de øvrige modtageres e-mailadresser i cc-feltet i stedet for i bcc- feltet.

Den dataansvarlig har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.

Her tænkes f.eks. på den situation, hvor der er truffet foranstaltninger, der gør personoplysninger uforståelige for enhver, der ikke har autoriseret adgang hertil, f.eks. kryptering.

Hvis underretningen kræver en uforholdsmæssig indsats.

Hvorvidt underretningen vil kræve en uforholdsmæssig indsats, afhænger af en afvejning mellem de konsekvenser som bruddet kan have for den registrerede og den dataansvarliges arbejdsindsats. Et eksempel på en situation hvor underretningen ville være uforholdsmæssig er den, hvor en virksomhed har mistet kontrollen over sine kundeoplysninger i forbindelse med et ransomware angreb.

I de situationer hvor den dataansvarlige finder, at det vil være uforholdsmæssigt at underrette den enkelte registrerede, kan den dataansvarlige i stedet udstede en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

Hvis den høje risiko, grundet efterfølgende foranstaltninger, ikke længere er reel.

Foretager den dataansvarlige, efter at have konstateret et brud på persondatasikkerheden, efterfølgende foranstaltninger og på den baggrund konkluderer, at risikoen ikke længere er reel, behøver den dataansvarlige ikke at underrette den registrerede.

Hvem har ansvaret

Det er den dataansvarlige, som har ansvaret for, at der sker underretning af den registrerede. Det er ligeledes den dataansvarlige som har bevisbyrden for at en af undtagelserne til underretningspligten gør sig gældende.

Hvis du som dataansvarlig ikke allerede har underrettet den registrerede, kan Datatilsynet efter en vurdering af sandsynligheden for, at bruddet indebærer en høj risiko, kræve, at du underretter den registrerede.

Nedenfor kan du læse nærmere om de databeskyttelsesretlige krav til underretning af registrerede, som den dataansvarlige skal være opmærksom på. 

Det følger af databeskyttelsesforordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Det følger videre af artikel 34, stk. 2, at underretningen af den registrerede i et klart og forståeligt sprog skal beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde følgende oplysninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d:

  • b) navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • c) en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden 
  • d) en beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Det følger i den forbindelse af artikel 12, stk. 1, at den dataansvarlige skal give enhver meddelelse i henhold til bl.a. artikel 34 til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne skal gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.

Det følger endelig af artikel 24, stk. 1, at den dataansvarlige, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres. For så vidt angår underretning af de registrerede, medfører kravet i artikel 24, stk. 1, efter Datatilsynets opfattelse, at den dataansvarlige skal være i stand til at påvise, at underretning af registrerede er foretaget i overensstemmelse med de databeskyttelsesretlige regler.

Det grundlæggende formål med underretningsforpligtelsen er bl.a. at give den registrerede mulighed for at træffe de fornødne forholdsregler, for at minimere risikoen for sine rettigheder og frihedsrettigheder, når der er sket kompromittering af vedkommendes personoplysninger.

Underretninger skal først og fremmest indeholde navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor den registrerede kan indhente yderligere oplysninger om bruddet mv., jf. artikel 33, stk. 3, litra b.

Hvis det skal være muligt for den registrerede at træffe de fornødne forholdsregler, skal karakteren af bruddet beskrives i et klart og forståeligt sprog, jf. artikel 34, stk. 2. Hvad der udgør et klart og forståeligt sprog skal ses i lyset af det pågældende bruds karakter, og der bør i den sammenhæng tages hensyn til modtageren, heriblandt den registreredes modersmål, sprogkundskaber, alder mv.

Beskrivelsen af karakteren af bruddet skal gøre den registrerede i stand til konkret at forstå, hvad der er sket med den registreredes oplysninger, f.eks. om den registreredes oplysninger er blevet sendt til en forkert modtager, eller om den registreredes oplysninger har været omfattet af et hackerangreb.

Det vil i den forbindelse ikke være tilstrækkeligt, hvis det kun fremgår af underretningen, at oplysningerne er kommet til uvedkommendes kendskab. Det bør endvidere beskrives, hvordan oplysningerne er kommet til uvedkommendes kendskab, herunder om der f.eks. er tale om fejlforsendelse ved fysisk brev, eller om en e-mail er sendt til en eller flere forkerte modtagere. Hvis oplysningerne har været omfattet af et hackerangreb, bør en beskrivelse af karakteren af bruddet – hvis det er muligt – også omfatte en beskrivelse af, om oplysningerne f.eks. er blevet gjort utilgængelige hos den dataansvarlige og/eller er blevet offentliggjort på internettet.

For at den registrerede kan vurdere, hvordan vedkommende bedst kan varetage sine interesser, kan det i nogle tilfælde være relevant at oplyse den pågældende om, hvem – og hvor mange – der utilsigtet har modtaget den registreredes oplysninger. Det indebærer imidlertid ikke, at den dataansvarlige f.eks. skal oplyse navnet på den borger, der utilsigtet har modtaget oplysninger om den registrerede. Det kan dog ofte være relevant for den registrerede at få oplyst, om den utilsigtede modtager er en anden borger, en kollega, et familiemedlem eller lignende, eller om den utilsigtede modtager f.eks. er en advokat, der i øvrigt er underlagt tavshedspligt.

Øvrige oplysninger, såsom personoplysningernes art, følsomhed og mængde, er som regel også væsentlige og relevante for den registrerede at få kendskab til. Det indebærer bl.a., at den dataansvarlige i underretningen både beskriver, hvilke kategorier af oplysninger – f.eks. helbredsoplysninger eller økonomiske oplysninger – der er omfattet af bruddet, samt præciserer, hvilke konkrete oplysninger der er omfattet. Det kan eksempelvis være helbredsoplysninger i form af oplysninger om diagnose og medicinering i en lægejournal.

I forbindelse med en underretning af den registrerede, vil det i visse tilfælde være hensigtsmæssigt at vedlægge de konkrete dokumenter, oplysninger eller lignende, der har været omfattet af bruddet. Det er imidlertid Datatilsynets opfattelse, at en underretning skal kunne stå alene, idet der kan være en risiko for, at den registrerede ikke læser eventuelle vedlagte dokumenter, f.eks. hvis dokumenterne er sendt i et filformat, som ikke er læsbart for den registrerede. Der kan derudover være en risiko for, at det ud fra de vedlagte dokumenter ikke er klart for den registrerede, om der f.eks. er tale om særlige kategorier af oplysninger (f.eks. helbredsoplysninger), hvilket kan medføre, at den registrerede ikke kan vurdere risikoen ved det pågældende brud. Indholdet af eventuelle vedlagte dokumenter bør derfor uddybes i selve underretningsskrivelsen.

Endelig bør journalnumre, datoer, titler mv. på dokumenter, der er omfattet af et brud – hvis det er hensigtsmæssigt – angives, så den registrerede i videst mulige omfang har mulighed for at identificere de konkrete dokumenter og oplysninger, der er omfattet af bruddet. Dette gælder især i tilfælde af, at disse ikke er vedlagt i underretningen.

Underretningen skal herudover indeholde en klar og forståelig beskrivelse af de sandsynlige konsekvenser af bruddet for den registrerede, jf. artikel 33, stk. 3, litra c, for at sikre, at den registrerede kan tage passende forholdsregler for at minimere risikoen. Det betyder, at det ikke er tilstrækkeligt alene at oplyse en delmængde af de sandsynlige konsekvenser, men at samtlige sandsynlige konsekvenser skal beskrives.

Hvis et brud f.eks. består i, at personoplysninger om den registrerede utilsigtet er blevet videregivet til uvedkommende, skal den dataansvarlige beskrive, hvad de sandsynlige konsekvenser af bruddet på fortroligheden kan være, f.eks. identitetstyveri eller lignende. Det er ikke tilstrækkeligt alene at beskrive, at oplysninger f.eks. kan tilgås af uvedkommende, er blevet ændret eller er gået tabt mv. Det er også konsekvenserne af, at oplysninger f.eks. er gået tabt, der skal beskrives.

Databeskyttelsesforordningen beskriver en række eksempler på sandsynlige konsekvenser. Der kan f.eks. være tale om:

  • Fysisk skade
  • Materiel skade
  • Immateriel skade
  • Forskelsbehandling
  • Identitetstyveri
  • Identitetssvig
  • Økonomiske konsekvenser, herunder finansielle tab
  • Skade på omdømme
  • Sociale konsekvenser
  • Indflydelse på privatliv
  • Skade på menneskelig værdighed
  • Skade på legitime interesser
  • Begrænsning/krænkelse af fundamentale rettigheder og frihedsrettigheder
  • Manglende udøvelse af kontrol med egne personoplysninger.

I et tilfælde, hvor personoplysninger – herunder fulde navn, adresse og helbredsoplysninger – i en livsforsikring er blevet tilgået af uvedkommende, kunne en beskrivelse af de sandsynlige konsekvenser til illustration være:

  • Offentliggørelse af oplysninger om den registrerede på internettet, som f.eks. kan påvirke den registreredes mulighed for at finde et arbejde eller lignende (på baggrund af oplysninger om helbredsproblemer, graviditet mv.)
  • Følelsesmæssig påvirkning af den registrerede, hvis den registrerede skjuler sin diagnose
  • Identitetstyveri
  • Oplysningerne kan blive udnyttet til phishing.

Hvornår en sandsynlig konsekvens er tilstrækkeligt beskrevet, afhænger af en konkret vurdering. Det afgørende er, at den sandsynlige konsekvens er forståelig og detaljeret nok beskrevet til, at den registrerede får mulighed for at tage korrekte forholdsregler.

Underretningen skal endvidere indeholde en beskrivelse af de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder – hvis det er relevant – foranstaltninger for at begrænse dets mulige skadevirkninger, jf. artikel 33, stk. 3, litra d. Hvis den dataansvarlige ikke har fundet det relevant at træffe foranstaltninger på baggrund af bruddet, skal dette efter Datatilsynets opfattelse fremgå af underretningen.

Hvis det er relevant for den registrerede, bør underretningen også indeholde oplysninger om de foranstaltninger, som den dataansvarlige eventuelt har truffet for at undgå nye lignende brud. Det er i den forbindelse Datatilsynets opfattelse, at det kan være hensigtsmæssigt at oplyse en registreret, der har været berørt af et brud, om, at den dataansvarlige f.eks. har indskærpet retningslinjer over for medarbejdere, gennemført yderligere awareness mv. og/eller etableret yderligere tekniske sikkerhedsforanstaltninger som følge af bruddet, idet oplysningerne kan gøre den registrerede bedre i stand til at vurdere, om den dataansvarlige behandler den registreredes oplysninger tilstrækkeligt sikkert fremadrettet, eller om den registrerede f.eks. vil tilbagekalde sit samtykke til behandlingen, opsige/ophæve en kontrakt eller gøre brug af retten til sletning, hvis det er muligt. Oplysningerne skal imidlertid ikke være så detaljerede, at den dataansvarlige f.eks. afslører sårbarheder i it-systemer eller lignende.

Endelig vil det også være relevant at oplyse den registrerede om, hvorvidt en eventuel forkert modtager af den registreredes oplysninger er blevet anmodet om at slette de modtagne oplysninger, og om modtageren har bekræftet, at oplysningerne er blevet slettet.

Der kan efter Datatilsynets opfattelse være situationer, hvor en opfølgende underretning af den/de registrerede vil være hensigtsmæssig. Det kan f.eks. være, hvis den dataansvarlige som led i afdækningen af et brud på persondatasikkerheden bliver bekendt med nye forhold, der er af betydning for den registrerede, efter den dataansvarlige allerede har foretaget underretning.

Det vil eksempelvis være formålstjenligt at foretage opfølgende underretning af berørte registrerede, hvis den dataansvarlige i forbindelse med behandlingen af et brud på persondatasikkerheden, der skyldes et hackerangreb, bliver bekendt med nye oplysninger, der medfører, at risikoen for de berørte registreredes rettigheder er højere eller lavere end, hvad den dataansvarlige oprindeligt vurderede. Det kan f.eks. være tilfældet, hvis den dataansvarlige gennem en efterfølgende undersøgelse af bruddet konstaterer, at andre eller flere typer personoplysninger er omfattet af bruddet, end den dataansvarlige først antog. Ved en opfølgende underretning får den registrerede en mere præcis opfattelse af bruddets karakter og de konkrete risikoscenarier mv., så den registrerede eventuelt kan træffe yderligere forholdsregler for at beskytte sine rettigheder og frihedsrettigheder.

Dataansvarlige skal imidlertid altid underrette registrerede uden unødig forsinkelse. Formålet med en opfølgende underretning af registrerede medfører derfor ikke, at dataansvarlige kan undlade at underrette registrerede så hurtigt som muligt efter bruddets konstatering ved brug af de informationer, som er tilgængelige for den dataansvarlige på det tidspunkt.

Foruden en beskrivelse af de sandsynlige konsekvenser skal underretningen i relevant omfang indeholde anbefalinger eller specifikke råd til den registrerede med henblik på at begrænse de mulige skadevirkninger af bruddet.

Det indebærer f.eks., at hvis en streamingtjeneste er blevet hacket, og hackeren bl.a. har fået adgang til og/eller offentliggjort den registreredes brugernavn og adgangskode til tjenesten, skal underretningen indeholde anbefaling om, at den registrerede bør bruge forskellige adgangskoder på forskellige websteder og samtidig bør ændre adgangskoderne til konti, hvor den kompromitterede adgangskode blev anvendt.

Databeskyttelsesforordningens artikel 34 fastsætter ikke formkrav til, hvordan den registrerede skal underrettes, men det anbefales, at den dataansvarlige vælger den eller de mest hensigtsmæssige underretningsmetoder i forhold til den registrerede. Det fremgår imidlertid af databeskyttelsesforordningens artikel 12, stk. 1, at underretning af den registrerede som det klare udgangspunkt skal ske direkte og på et skriftligt grundlag, f.eks. via e-mail, brev, sms eller lignende.

Det er i den forbindelse Datatilsynets opfattelse, at underretning i nogle tilfælde kan ske mundtligt – f.eks. ved et telefonopkald – men at dette som udgangspunkt kun kan ske, hvis den registreredes helt særlige forhold – f.eks. helbred – tilsiger det. Det kan f.eks. være, hvis den registrerede har et synshandicap eller lignende, der medfører, at den registrerede har svært ved at få adgang til eller forstå oplysninger i skriftlig form. Det kan også, som det udtrykkeligt fremgår af artikel 12, stk. 1, være, hvis den registrerede selv anmoder om det.

Datatilsynet bemærker imidlertid, at det ofte ved underretninger om brud på persondatasikkerheden er den dataansvarlige, der retter henvendelse til den registrerede (og ikke omvendt, som det typisk er tilfældet, hvis den registrerede ønsker at udøve sine rettigheder i henhold til artikel 15-22), hvorfor man som dataansvarlig skal være opmærksom på, om den registrerede faktisk anmoder om, at oplysningerne gives mundtligt frem for på skriftligt grundlag. Der er dog intet til hinder for – og det kan i flere tilfælde være det mest hensigtsmæssige – at den dataansvarlige indledningsvist underretter telefonisk i kombination med en opfølgende skriftlig underretning.

Uanset hvordan underretningen sker, skal den dataansvarlige kunne påvise og dokumentere, at underretningen har levet op til kravene i databeskyttelsesforordningen – herunder især artikel 34 – jf. databeskyttelsesforordningens artikel 24, stk. 1. Dokumentation kan f.eks. foretages ved, at den dataansvarlige gemmer en kopi af den skriftlige underretning til den registrerede, eller ved at tidspunkt, underretningsmåde og indhold fremgår af et notat, hvis underretning (også) er sket mundtligt.

Intern korrespondance, der beskriver, hvad en underretning skal indeholde, udgør – efter Datatilsynets opfattelse – som udgangspunkt ikke tilstrækkelig dokumentation for, at der er sket korrekt underretning. Det samme gælder, hvis den dataansvarlige angiver i brudanmeldelsen til Datatilsynet, at der vil ske underretning, og hvad indholdet vil eller har været.