Datasikkerhedsbrud - har virksomheden en plan?

I takt med at flere og flere danske virksomheder behandler stigende mængder personoplysninger, bliver det et aktuelt spørgsmål, om virksomheden har en plan for at håndtere et datasikkerhedsbrud.
I 2011 var mindst 18 danske virksomheder mål for dataangreb, og den 19. oktober 2012 udtalte Forsvarets Efterretningstjeneste, at "Cyberkrig er en større trussel mod Danmark end terror".

Et datasikkerhedsbrud kan ske, hvis virksomheden udsættes for hacking, men det kan også sagtens ske ved, at en medarbejder glemmer en computer i toget, eller ved at it-medarbejderen ved en fejltagelse kommer til at placere en database med personoplysninger udenfor firewall'en.

Mange virksomheder har dog ikke gjort sig overvejelser om, hvordan virksomheden vil reagere, hvis den udsættes for et datasikkerhedsbrud. Dette skyldes bl.a., at mange virksomheder venter på den (formodentligt) kommende forordning, mens andre ikke ved, at der allerede i dag i persondataloven stilles krav til virksomhederne om at gøre sig sådanne overvejelser.

Det følger af persondatalovens § 5, at virksomheden skal sørge for, at personoplysninger ajourføres, at der føres kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger, og at oplysninger ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til formålene med oplysningernes behandling.

Samtidig fastslår persondatalovens § 41, stk. 3, at virksomheden skal have de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger.

Sammen med sektorregulering, Datatilsynets vejledninger og udtalelser medfører disse to bestemmelser, at danske virksomheder har pligt til at gøre sig overvejelser om, hvordan de vil reagere, hvis de udsættes for et datasikkerhedsbrud.

Derfor bør virksomhederne allerede i dag få udarbejdet en manual eller en procedure for, hvordan de vil reagere/håndtere et datasikkerhedsbrud og få etableret et team, der kan rykke ud, når skaden sker.