Skip to main content
SDUnet - Syddansk Universitets medarbejderportal

Søg

English
Menu

Databeskyttelse og informationssikkerhed

Sikkerhedsbrud

De fleste oplever på et eller andet tidspunkt at være involveret i en sikkerhedshændelse. Det er, hvad der kan ske, men når det sker, er det vigtigt, at brud håndteres hurtigst muligt. Her er, hvad du skal gøre, når et brud opstår.

Håndtering af sikkerhedsbrud

  • Brud skal indberettes, dels for at beskytte de personer, hvis oplysninger er involveret, dels for at forhindre eventuel skade for SDU’s forretning, og ikke mindst for at lære af hændelsen. 

    Det er ikke tilstrækkeligt blot at bede modtageren af en mail, der er sendt forkert om at slette den, at undlade at registrere bruddet fordi ens computer ”kun” var væk én time i toget eller at ”vedkommende har jo tavshedspligt, så det gør ikke noget.” Alle hændelser skal registreres på SDU’s interne log over sikkerhedshændelser.

    Når du modtager mails, bør du altid sikre dig, at de er sendt af en troværdig modtager (ring fx til afsenderen eller spørge en kollega om vedkommende har modtaget en lignende mail, hvis du modtager noget mistænkeligt). I sådan et tilfælde kan du benytte ”Report Phishing”-knappen i Outlook. Hvis du er kommet til at trykke på et mistænkeligt link og frygter, at du har mistet kontrollen over dit it-udstyr, skal du udfylde formularen for indretning af sikkerhedsbrud.

  • Når du anmelder en sikkerhedshændelse via. formularen, behandler Syddansk Universitet oplysninger om dig – helt specifikt dit fulde navn og din e-mailadresse. Oplysningerne behandles udelukkende til følgende formål:

    • Til identifikation af personen, der har indberettet et sikkerhedsbrud
    • For at kunne kvittere for anmeldelsen
    • For at kunne tage kontakt til anmelder ved behov for yderligere oplysninger om sagen/hændelsesforløbet

    Oplysningerne behandles derfor udelukkende for, at SDU som dataansvarlig kan efterleve reglerne om at føre en intern log over sikkerhedsbrud. Hvis du har spørgsmål til behandlingen af dine personoplysninger i denne henseende, kan du kontakte SDU's databeskyttelsesrådgiver.

  • Hvis du er i tvivl om noget, kan du tage fat i din lokale informationssikkerhedskoordinator. SDU RIO og/eller SDU IT modtager din indberetning og vurderer sagen.

    Indberet sikkerhedsbrud

Definition af et sikkerhedsbrud - den formelle

Et brud på persondatasikkerheden har fundet sted, når bruddet fører til en hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der sendes, lagres eller på anden måde behandles, uanset om behandlingen foregår fysisk eller elektronisk. Tab af eller uautoriseret adgang til informationer, som ikke er persondata, men som er af beskyttelsesværdig karakter (f.eks. patenter, fortrolige aftaler, kontrakter eller andet) skal – nøjagtig som brud på persondatasikkerheden – anmeldes, hvis disse mistes eller bliver tilgængelige for uvedkommende.

Eksempler på sikkerhedsbrud

I en hverdag, hvor der på SDU behandles mange forskellige typer oplysninger, kan det være svært at afgøre, om der er tale om et sikkerhedsbrud eller ej. Se eksemplerne herunder.

  • Det er denne type brud, som vi oftets ser på SDU:

    • Mails sendt til forkerte modtagere
    • Opgaver sendt til ekstern bedømmelse, som er blevet gjort tilgængelig for uvedkommende
    • Forkerte afgørelser
    • Vedhæftet mails til den korrekte modtager ol.

    Alle mails med personoplysninger sendt til en forkert modtager (eller med forkert indhold), også selvom det er intern mellem SDU-ansatte, skal anmeldes som brud på persondatasikkerheden.

  • Medarbejder blev opmærksom på, at vedkommende havde adgang til optagede videoer (informationsmateriale, studiegruppemøder, interviews mm.), som personen ikke havde et formål med at se. Kilden til bruddet var opsætningen af de enkelte Teams-sites. Hvis Teams-sitet er oprettet som et ”offentligt team”, så har alle med en SDU-konto adgang til (og mulighed for at redigere, tilføje dokumenter ol.) det pågældende Teams-site – og det havde flere ansatte og studerende ikke været opmærksomme på.

  • Et SharePoint-site blev brugt til studerendes rejseafregning. SDU-medarbejder havde oprettet og administreret sitet, men da vedkommende forlod SDU i 2016 +/-, var der ikke taget stilling til, hvem der skulle overtage sitet/om sitet skulle slettes.

    I 2020 foretog man en ændring i de overordnede SharePoint-adgangsrettigheder, hvilket gjorde det muligt for personer med en smule teknisk snilde at fremsøge sitet via URL’en – og derved blev personoplysninger tilgængelige for uvedkommende.

  • Efter en teknisk ændring i Pure blev informationer, som tidligere var skjult i PDS, udstillet offentligt på internettet. Det drejede sig bl.a. om udvalgte ansattes CPR-nummer, adresse og navngivne familiemedlemmer. Dette var en negativ afledt konsekvens af den tekniske ændring, og denne type oplysninger skal ikke ligge frit tilgængelige på internettet.
  • SDU har oplevet flere eksempler, hvor undervisere har offentliggjort slides eller andet kursusmateriale, som indeholder persondata. Det kan eksempelvis være navne, røntgenbilleder med CPR-numre, biler med nummerplade, ikke-anonymiseret data fra spørgeskemaundersøgelser ol. Du må naturligvis gerne angive kilder (navn, og dermed persondata) for at leve op til videnskabelig redelighed. Hvis du i din undervisning vil gøre brug af eksempler, så benyt navne som ”Anders Andersen” eller ”Børge Børgesen”.
  • En medarbejder på SDU havde fået it-teknisk support via fjernadgang. Senere på dagen opdager man, at fjernadgangen ved en fejl ikke er blevet afbrudt. En anden SDU-medarbejder kan derfor potentielt have haft adgang til almindelige, fortrolige og følsomme oplysninger uden at have et formål med det. Det blev derfor anmeldt som et brud på persondatasikkerheden.

Samlet liste over generelle brud, som opleves på tværs af alle virksomheder/institutioner

  1. Mail sendt til forkert modtager
  2. Bortkomne computere/tablet/smartphones/diktafoner
  3. Glemt dokumenter med persondata et fysisk sted (fx ved printeren eller i et eksamenslokale)
  4. Personoplysninger gjort tilgængelige ved en fejl (fx ved forkerte adgangsrettigheder til systemer/dokumenter/andet)
  5. Tab af information grundet strømsvigt (fx forskningsmateriale i frysere)
  6. Oplysninger slettes/ændres ved et uheld eller oplysninger videregives til uvedkommende person/virksomhed/institution
  7. Reaktion (fx trykket på link og derefter (muligvis også) logget ind) på mail med link fra, hvad der viste sig at være en utroværdig afsender (phishing)

Har du spørgsmål?

GDPR- og informationssikkerhedskoordinatorerne er din lokale kontakt og rådgiver i dagligdagen om databeskyttelse og informationssikkerhed på SDU.

Se også