Brud på persondatasikkerheden

Her kan du læse om, hvad du skal gøre, hvis du kommer til at bryde persondatasikkerheden. Der er også eksempler på, hvad der udgør et brud på persondatasikkerheden.

Databeskyttelsesforordningen forpligter KFST – og dermed også dig som medarbejder – til at følge op på brud på persondatasikkerheden inden for en lovbestemt tidsfrist. Hvis du er det mindste i tvivl, skal du derfor altid kontakte styrelsens persondataansvarlige ved at sende en mail til styringogit@kfst.dk med cc til Torben B. Olesen (tool@kfst.dk).

Retningslinjen gælder for alle medarbejdere og chefer i styrelsen.

Er du ved en fejl kommet til at bryde persondatasikkerheden, skal du som det første forsøge at minimere skaden, hvis det er muligt, i samarbejde med din nærmeste leder. Hvis du fx er kommet til at sende personoplysninger til en forkert person, bør du hurtigst muligt forsøge at tilbagekalde mailen eller bede vedkommende om at slette mailen.

Herefter skal du hurtigst muligt – og senest inden for 30 minutter – rapportere sikkerhedsbruddet ved at sende en mail til Styring og It (styringogit@kfst.dk) med cc til nærmeste leder og persondataansvarlige Torben B. Olesen (tool@kfst.dk). Dette er vigtigt, idet en eventuel anmeldelse af et brud på persondatasikkerheden til Datatilsynet skal foretages inden 72 timer.

I e-mailens emnefelt skal du anføre ”Brud på persondatasikkerheden”. Hvis du ikke inden for 30 minutter har fået svar fra Styring og It eller den persondataansvarlige, skal du (i prioriteret orden):

  1. Gå til ADM på 1. sal og få fat i en medarbejder, som kan hjælpe dig med at skabe kontakt til persondataansvarlig
  2. Ringe til persondataansvarlig – telefon 41715310
  3. Ringe til suppleant for persondataansvarlig i ADM – telefon 41715210
  4. Ringe til administrationschef i ADM – telefon 21676267

Hvis modtageren af din mail er en anden medarbejder hos KFST eller ansat i en organisation, der er kunde hos Statens IT, fx EM-DEP, og de ikke har nået at læse mailen, kan du tilbagekalde mailen ved at gøre følgende:

  1. Gå til mappen Sendt post og dobbeltklik på mailen for at åbne den i et andet vindue
  2. Klik på Filer 
  3. Vælg Oplysninger og klik på Send igen og tilbagekald
  4. Klik Tilbagekald denne meddelelse…
  5. Vælg Slette ulæste kopier af denne meddelelse
  6. Markér afkrydsningsfeltet Giv besked, om tilbagekaldelse lykkes eller mislykkes for hver modtager

Hvis du får besked om, at tilbagekaldelsen er lykkedes, skal du vedhæfte den i din rapportering af bruddet. 

Omvendt, hvis du ikke inden for nogle minutter modtager en mail om, at tilbagekaldelsen er lykkedes, formodes det, at tilbagekaldelsen ikke er sket, hvorefter du straks skal bede den forkerte modtager om at slette mailen.

Hvis du mister din telefon eller tablet, skal du hurtigst muligt orientere ADM for at få telefonen/tabletten fjernslettet.

I arbejdstiden skal du kontakte Birgit Petersen (bp@kfst.dk / 41 71 50 35) eller Susanne Sonne Irsdal (ss@kfst.dk / 41 71 52 91) samt styringogit@kfst.dk. Uden for arbejdstid skal du kontakte Statens It på 72 31 00 01 og hurtigst muligt derefter orientere ADM om fjernsletningen på styringogit@kfst.dk.

Ved fjernsletningen slettes alt indhold på telefonen/tabletten – inklusive eventuelle private apps og data. Styrelsen er ikke ansvarlig for tab af privat data i den forbindelse.

Et brud kan fx være, hvis du sender en e-mail med personoplysninger til en forkert modtager, hvis du sender en e-mail indeholdende et CPR-nr. ukrypteret uden for koncernen, eller hvis uvedkommende har fået indsigt i personoplysninger i styrelsen. Se flere eksempler på brud nedenfor.

Databeskyttelsesforordningen definerer et brud på persondatasikkerheden som ”et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Hændeligt eller ulovligt tab af personoplysninger

  • Bortkomst af bærbare medier, som indeholder personoplysninger, fx arbejdstelefon, tablet, computer, USB-stik m.v.
  • KFST rammes af et strømnedbrud, og styrelsen har derfor ikke mulighed for at tilgå sine servere i adskillige timer. 
  • KFST's servere inficeres af ransomware (malware, der bruges til at afpresse ejeren af den inficerede enhed til at betale løsepenge for at få adgang til sine egne data igen).

 Uautoriseret videregivelse af og adgang til personoplysninger

  • E-mail indeholdende personoplysninger bliver sendt til en forkert e-mailadresse.
  • E-mail bliver sendt til rette modtager, men indeholder personoplysninger om en anden, evt. via vedhæftning af en forkert fil.
  • E-mail indeholdende følsomme personoplysninger, fortrolige personoplysninger eller oplysninger om strafbare forhold bliver sendt ukrypteret ud af koncernen.
  • Udsendelse af e-mails til mange modtagere, hvor modtagernes e-mailadresser ikke er skjult (dvs. bcc-feltet er ikke brugt). Det er relevant i forhold til fx nyhedsbreve, hvor modtagerne ikke bør kende hinandens kontaktoplysninger.
  • Eksponering af datasæt indeholdende personoplysninger, fx via tabeller/grafik i publikationer.
  • Brud på KFST's IT-sikkerhed, hvorved uvedkommende har fået indsigt i personoplysninger, fx sagsbehandlingsdata, CPR-oplysninger, oplysninger om strafbart forhold el.lign.
  • Andre, end den eller de hos KFST autoriserede personer, får (uautoriseret) adgang til personoplysninger, fx som følge af en IT-fejl eller afsendelse til personer, som ikke burde have adgang til materialet (fx et irrelevant bilag sendes til en ekstern rådgiver).

Hændelig eller ulovlig ændring af personoplysninger

  • Du eller en kollega kommer ved en fejl til at ændre personoplysninger som følge af et uheld eller en misforståelse, og disse kan ikke genoprettes umiddelbart.

Efter databeskyttelsesforordningen er der fire kategorier af personoplysninger: almindelige personoplysninger, følsomme personoplysninger, oplysninger om strafbare forhold og fortrolige personoplysninger. De forskellige typer af personoplysninger er beskrevet på Intra under Personoplysninger.

Senest opdateret 27-10-2025