Nye regler om underretning om brud på persondatasikkerheden

EU-kommissionen har med vedtagelsen af forordning nr. 611/2013 indført en række nye regler angående underretning om brud på persondatasikkerheden. De nye regler gælder udbydere af offentligt tilgængelige kommunikationstjenester, herunder teleselskaber og internetudbydere. Udbyderne forpligtes til at underrette den kompetente nationale myndighed om brud på persondatasikkerheden.

I Danmark skal underretning ske til IT- og Telestyrelsen senest 24 timer efter, at sikkerhedsbruddet er påvist. Er det ikke praktisk muligt at foretage fuld underretning indenfor 24 timer, skal en indledende underretning indgives. Herefter har udbyderen tre dage til at foretage fuld underretning til IT- og Telestyrelsen. IT- og Telestyrelsen skal blandt andet underrettes om, hvilke tiltag udbyderen har iværksat efter sikkerhedsbruddet, antallet af berørte brugere samt hvornår de berørte net eller tjenester forventes reetableret.

Sikkerhedsbrud er alle handlinger, der fører til hændelig eller uretmæssig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata i forbindelse med udbuddet af kommunikationstjenester. Udbydere ligger ofte inde med en slutbrugers eller fysisk persons navn, adresse, bankoplysninger og andre finansielle oplysninger samt telefonoplysninger, opkaldslister og browserhistorik mv. De nævnte oplysninger er væsentlige for mange slutbrugere og fysiske personer, og derfor skal de underrettes af udbyderen, hvis sikkerhedsbruddet forventes at krænke personoplysninger eller privatlivet. Brud på persondatasikkerheden anses for krænkende, hvis den kan indebære identitetstyveri eller svig, fysisk skade, betydelig tort eller skade af omdømme.

Forordningen trådte i kraft den 25. august 2013 og finder direkte anvendelse i medlemsstaterne. I Danmark er en henvisning til forordningen tilføjet Bekendtgørelse om informationssikkerhed og beredskab elektroniske kommunikationsnet og -tjenester nr. 445 af 11/05/2011.