GDPR bliver ofte behandlet som et juridisk problem — noget for advokater og compliance-folk. Men størstedelen af GDPR-overtrædelser har en teknisk årsag. En server uden kryptering, en medarbejder der klikker på et phishing-link, et system der ikke er blevet opdateret. GDPR og IT-sikkerhed er to sider af samme mønt.

Denne artikel forklarer sammenhængen i konkrete og forståelige termer — uden jura-jargon.

Hvad er egentlig et "personoplysningsbrud" teknisk set?

GDPR bruger begrebet brud på persondatasikkerheden. Det lyder abstrakt, men teknisk dækker det over tre scenarier:

  • Fortrolighedsbrud — uvedkommende får adgang til personoplysninger. Eksempel: en hacker bryder ind i jeres kundesystem, eller en medarbejder sender en e-mail med CPR-numre til den forkerte modtager.
  • Integritetsbrud — data ændres utilsigtet eller uautoriseret. Eksempel: ransomware krypterer eller manipulerer jeres data.
  • Tilgængelighedsbrud — data er ikke tilgængeligt, som det skal. Eksempel: en nedetid i jeres system, der betyder, at I ikke kan levere en tjeneste, der behandler personoplysninger.

Bemærk: det tredje punkt overrasker mange. At miste adgang til sine egne data — fordi et system crasher eller fordi I ikke har backup — er teknisk set et GDPR-brud, hvis det påvirker personers rettigheder.

72-timers-reglen: hvad den faktisk kræver af dig

Hvis der sker et brud, har I som udgangspunkt 72 timer til at anmelde det til Datatilsynet — fra det øjeblik I "bliver bekendt" med hændelsen. Manglende anmeldelse er i sig selv en overtrædelse, der kan udløse bøde.

72 timer lyder af meget, men i praksis er det knapt. Særligt hvis I ikke har en hændelsesplan klar. Hvem i virksomheden opdager et brud? Hvem beslutter, om det skal anmeldes? Hvem kontakter Datatilsynet? Hvem skriver anmeldelsen?

En anmeldelse til Datatilsynet skal indeholde:

  • En beskrivelse af hændelsens karakter — hvad skete der, og hvordan
  • Hvilke kategorier af personoplysninger der er berørt
  • Omtrentligt antal berørte personer
  • Sandsynlige konsekvenser for de registrerede
  • Hvilke foranstaltninger I har truffet eller planlægger at træffe

Det kræver, at I faktisk ved, hvilke personoplysninger I har, hvor de ligger, og hvad der er sket. Den viden forudsætter god IT-hygiejne i hverdagen.

Praktisk tip: Opret et simpelt dokument med kontaktperson, procedure og link til Datatilsynets anmeldelsesportal. Del det med ledelsen. Det kan spare jer for kaos, hvis noget sker kl. 22 en fredag.

Hvad menes med "passende tekniske foranstaltninger"?

GDPR kræver, at I implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger. Det er bevidst vagt — loven definerer ikke præcist, hvad det kræver. Men vejledninger fra Datatilsynet og ENISA (EU's cybersikkerhedsagentur) peger på en kerne af forventede tiltag:

  • Kryptering — særligt af bærbare enheder og ved overførsel af data
  • Adgangsstyring — medarbejdere må kun have adgang til de data, de har brug for i arbejdet
  • Logning og overvågning — I skal kunne dokumentere, hvem der har tilgået hvad
  • Regelmæssige opdateringer — kendte sårbarheder skal lukkes rettidigt
  • Backup og gendannelse — I skal kunne gendanne data efter et tab
  • Adgangskodepolitik og MFA — stærke adgangskoder og tofaktor-autentificering

Hvad der er "passende" vurderes i forhold til virksomhedens størrelse, de data I behandler, og risikoen for de registrerede. Behandler I følsomme oplysninger som helbredsdata, er kravene højere end hvis I blot har et kundekartotek med navne og e-mailadresser.

De hyppigste GDPR-brud der stammer fra dårlig IT-sikkerhed

Datatilsynet modtager hvert år tusindvis af anmeldelser fra danske virksomheder. De mest gentagende tekniske årsager er:

  1. Phishing-angreb — en medarbejder klikker på et link og afgiver sine loginoplysninger. Resultatet er typisk adgang til e-mail eller systemer med personoplysninger. MFA ville i de fleste tilfælde have stoppet dette.
  2. Forkert modtager — e-mail med personoplysninger sendes til den forkerte. Teknisk sæt simpelt, men systemfejl og tidspres gør det til en af de hyppigste årsager.
  3. Ransomware — data krypteres og er utilgængelige. Selv hvis løsesum ikke betales, er der sket et brud.
  4. Manglende adgangsstyring — en tidligere medarbejder har stadig aktiv adgang til systemer. Det sker hyppigt, når offboarding-processen ikke inkluderer IT.
  5. Tab af ubeskyttet enhed — en laptop eller USB-nøgle uden kryptering mistes eller stjæles.

Hvad kan du gøre nu?

Det kræver ikke et stort projekt at forbedre situationen. Start med disse tre tiltag:

  1. Slå MFA til på alle arbejdskonti — særligt e-mail og cloud-tjenester. Det er den enkeltforanstaltning, der forhindrer flest brud.
  2. Krypter bærbare enheder — Windows BitLocker og Apple FileVault er gratis og built-in. Det tager under en time at aktivere.
  3. Lav en enkel offboarding-tjekliste — der inkluderer deaktivering af alle IT-konti, ikke kun fjernelse af badge og nøgle.

GDPR er ikke noget, du klarer én gang og glemmer. Det er en løbende praksis. Men de vigtigste fundament handler om basishygiejne i IT — og den beskytter jer på begge fronter.