Håndtering af databrud og sikkerhedshændelser
Institutionen er ansvarlig for at anmelde databrud, som skyldes uberettiget anvendelse af de fællesstatslige systemer eller behandlingsaktiviteten hos institutionen.
Institutionens ansvar ved databrud
Den enkelte institution har ansvar for at:
- efterleve databeskyttelsesforordningens krav om at anmelde databrud (artikel 33), hvis et brud skyldes uberettiget brug af systemerne hos institutionen.
- overholde databeskyttelsesforordningens krav om at underrette den registrerede om brud på persondatasikkerheden (artikel 34), hvis et brud på persondatasikkerheden skyldes uberettiget brug af systemerne hos institutionen.
- hurtigst muligt underrette Økonomistyrelsen på , hvis der sker databrud eller andre sikkerhedshændelser hos institutionen, som kan have betydning for det enkelte system.
Eksempler på databrud, hvor institutionen bør underrette Økonomistyrelsen:
- Data er blevet uberettiget udstillet til uvedkommende, fx hvis HR-data eller fortrolige personoplysninger er tilgængelige for systembrugere eller personer, som de ikke angår.
- Data fra de fællesstatslige systemer er blevet uberettiget videregivet til uvedkommende via systemerne.
- Data i de fællesstatslige systemer er mangelfulde eller forkerte, og dette ikke følger af institutionens egen indtastning.
- Institutionen bliver bekendt med, at der pågår et hackerangreb på de fællesstatslige systemer, eller at de på nogen måde er blevet kompromitteret.
- Der er grundet systemfejl sket fejlagtig udbetaling af løn mv.
Bistand fra Økonomistyrelsen
Økonomistyrelsen bistår om nødvendigt institutionen med oplysninger, som er nødvendige for, at institutionen kan overholde sine forpligtelser over for den registrerede. I så fald kontaktes .
Databrud hos Økonomistyrelsen
Sker der databrud hos Økonomistyrelsen, som Økonomistyrelsen eller Datatilsynet vurderer kan have betydning for institutionerne, underretter Økonomistyrelsen de berørte institutioner.
Har du spørgsmål til Økonomistyrelsens arbejde med databrud, kontakt os på .