Skip to main content

Brud på datasikkerheden

Brud på datasikkerheden - hvad gør jeg?

Hvis du er i tvivl om, der er sket et brud på datasikkerheden, og hvad du skal gøre, kan følgende spørgsmål og eksempler være til hjælp:

Brud på datasikkerheden - hvad gør jeg?

Du skal straks indberette et databrud, når det konstateres.

Du indberetter et databrud ved at udfylde denne formular

SDU har pligt til at anmelde det til datatilsynet indenfor 72 timer, og Servicedesk kan hjælpe dig igennem processen.

Har du spørgsmål eller tvivl kan du ringe til 65 50 2990 eller skrive til servicedesk@sdu.dk

 

Nedenfor ser du en række eksempler på hvad databrud/brud på datatsikkerheden er. Det er på ingen måde en udtømmende liste.

Er du i tvivl om en hændelse skal opfattes som et brud på datasikkerheden kan du kontakte:

Eksempler på databrud

  • Computere, tablets smartphones m.v., som enten bliver stjålet, glemmes eller bortkommer på anden måde er databrud. 
    • Det kan både dreje sig om SDU-ejede devices  og private computere som er sat op til at kunne logge på SDU's netværk, mail eller VPN
  • Mails der sendes til forkert modtager.
    • Typiske årsager er slåfejl eller  i forbindelse med, at man bruger autoudfyldelse i modtagerfeltet
  • Glemte dokumenter med personoplysninger i printere/scannere.
    • En medarbejder  eller studerende glemmer ex. karakterudskrifter, deltagerlister eller lign. der indeholder persondata.
  • Personoplysninger gjort tilgængelige ved en fejl.
    •  Det kan fx  være hvis man har rettighed til SharePoint-sites eller mailbokse, man ikke bør have adgang/rettighed til.
  • Hacking/Phishing.
    • Hvis man grundet hacking har mistet kontrol over sit IT-udstyr
    • Hvis man har oplyst loginoplysninger eller andre fortrolige oplysninger, i forbindelse med at man har reageret på en phishing-mail, i den tro at det var en troværdig afsender.

Selv hvis du når at:

  • Finde udskriften i printeren
  • Tilbagekalde emailen eller
  • Ændrer rettighederne så snart, du opdager, de er forkerte

skal der stadig foretages en anmeldelse af “en hændelse”, da data - om end kortvarigt - har været udenfor din kontrol. Det er således ikke væsentligt at/om adgangen har været benyttet, det vigtige er at få dokumenteret, hvad der skete, hvornår og med hvad.

Det vigtige er ikke at få placeret skyld og ansvar, men at få identificeret, standset og dokumenteret den utilsigtede hændelse.

 

Hændelsen skal stadig anmeldes, selv hvis data utilsigtet ender ved en anden myndighed, hvor man kan forvente at medarbejderne er underlagt tavshedspligt. Det kunne for eksempel være hos medarbejdere i politi, kommune eller region.

 

Ansvarlig for siden: Det Sundhedsvidenskabelige Fakultet

Sidst opdateret: 21.09.2021