AAU logo

AAU Håndbogen

Sikkerhedshændelser – interne regler for anmeldelse

Interne regler for AAU ansatte og studerende vedrørende anmeldelse af informationssikkerhedshændelser med personoplysninger

Publiceret: 02.05.2019 (Sidst ændret: 02.05.2019)

Print som pdf

Indhold

1.Alle informationssikkerhedshændelser skal anmeldes og registreres

Formålet med databeskyttelsesforordningen og databeskyttelsesloven er at sikre, at personoplysninger der behandles af offentlige myndigheder eller private virksomheder håndteres med respekt for den enkelte ejer.

Som ansat og studerende på AAU har man pligt til at anmelde en informationshændelse, både i de tilfælde hvor man selv har handlet således, at en informationshændelse er sket og hvis man opdager en informationshændelse, man ikke selv har været involveret i.

2.Hvad er en informationssikkerhedshændelse

En Informationssikkerhedshændelse (jf. ISO27000-standard) er:

”En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være relevant for sikkerheden…”

Det vil sige, at informationssikkerhedshændelser er en samlebetegnelse for alle de forskellige typer af tekniske og menneskeskabte uheld/brud, der kan udgøre en risiko for de informationer og data, herunder personoplysninger, som behandles på AAU - fremadrettet kaldet en sikkerhedshændelse.

De forskellige typer af brud på informationssikkerheden opdeles i henholdsvis tekniske sikkerhedshændelser og organisatoriske sikkerhedshændelser.

Teknisk sikkerhedshændelse (ikke udtømmende)

Tekniske sikkerhedshændelser kan defineres som sikkerhedshændelser, der skyldes udefrakommende begivenheder, skabt af mennesker eller af naturen og/eller som skyldes fejl i hardware og IT-miljø.

  • Hacking
  • Strømafbrydelse
  • Brandskade
  • Vandskade
  • Elektromagnetisk beskadigelse (lynnedslag, solstorm, statisk elektricitet)
  • Skade ved naturhændelse (storm, orkan, tordenstorm, skypumpe)
  • Skade ved katastrofal ulykke (eksplosion i tilstødende bygninger eller faciliteter)
  • Skade ved forsætlig destruktion (brandstiftelse, hærværk, terrorbombning, sabotage begået af hævngerrige eller korrupte ansatte)
  • Tyveri af aktiver (indbrud, røveri, simpelt tyveri, tricktyveri, tyveri begået af ansatte)
  • Leverandørkollaps (konkurs, nedlæggelse)
  • Drifts- eller vedligeholdelsesfejl (serviceleverandørfejl, hostingleverandørfejl, fejl begået af drifts-, support- eller vedligeholdelsesstab)
  • Cyber-terror angreb (destruktiv hacking, informationsforfalskning, website defacing, denial of service angreb, botnet angreb, spam angreb)
  • Kapacitetsfejl (kapacitetsmangel for datalagre eller –behandling)
  • Softwarefejl (softwarenedbrud, bugs, databasekorruption, back-up retableres ikke, uautoriseret eller ikke-testet kode)
  • Hardware-fejl (kommunikationslinjenedbrud, udstyrsnedbrud eller -defekt, slid, korrosion, henfald af lagringsmedier
  • Fejl i fysisk miljøstyring (kølingsfejl, luftfiltreringsfejl, opvarmningsfejl, vandforsyningssvigt, frost, hedebølge/tørke
  • El-forsyningsfejl (strømsvigt, el-forsyningslinjebrud, isslag, strømfluktuation, sag, surge, spike, brownout, forsyningsudstyrssvigt, UPS-fejl, generatorfejl, elforsyningsoverbelastning)
  • Leverancesvigt (afvigelse fra aftalt serviceniveau)

Organisatorisk sikkerhedshændelse (ikke udtømmende)

Organisatoriske sikkerhedshændelser, kan defineres som en sikkerhedshændelse, der skyldes tilsigtede eller utilsigtede begivenheder, skabt af ansatte, studerende eller udefra kommende personer.

  • Tab af USB nøgle, ekstern harddisk, SD-kort eller anden form for fysisk lagringsenhed
  • Tab af laptop, bærbar PC, tablets, mobiltelefon
  • Mail, der sendes til forkert modtager (både interne og eksterne modtagere)
  • Medarbejdere får eller tager sig uautoriseret adgang til personoplysninger
  • Personoplysninger, der slettes (uden at der er hjemmel til det)
  • Aktivering af ukendt link i en mail, har downloadet et ukendt program eller har åbnet en fil fra et inficeret USB-stik, der installerer malware på computeren, såsom virus, ransomware, spyware eller adware, greyware, netværksorme, trojanske heste, logiske bomber, bots, root kits.
  • Phishing via e-mail eller websider
  • Aktivering af ukendt link eller åbne en vedhæftet fil i en mail, der ser ud til at komme fra en troværdig afsender (Spear-phishing)
  • Ansat har forladt sin PC, uden at den blev ”låst”
  • Dokumenter printes uden anvendelse af FollowYou
  • Dokumenter, ikke makuleres, men smides i almindelig papirkurv
  • Utilsigtet offentliggørelse af information på internettet
  • Forsætligt misbrug (forfalskning, svindel, uautoriseret brug, misbrug af rettigheder, brud på ophavsrettigheder)
  • Bevidst afsløring af information (politisk motiveret informationslækning, økonomisk motiveret informationslækning)
  • Informationslæk (fejlkonfiguration af adgangsrettigheder og sikkerhedssystemer, fejlagtig offentliggørelse af data, inkludering af skjulte data i datafiler)
  • Personaleomsætning (afskedigelse, opsigelse, rekruttering fra konkurrenter)
  • Brugerfejl (uforsætlig brugerhandlinger, fejlbehandlinger af medier, mangel på uddannelse, for vidtgående brugerrettigheder og –privilegier

3.Hvordan foretager du en intern anmeldelse af en sikkerhedshændelse?

Den letteste og bedste måde at anmelde en sikkerhedshændelse via webformular til ITS support Anmeldelse af sikkerhedshændelse

Ved at udfylde denne formular giver du bedst muligt de oplysninger, der er brug for, for at kunne stoppe sikkerhedshændelsen.

Kan det ikke lade sig gøre at bruge webformularen, kan du skrive en mail til support@its.aau.dk eller ringen anmeldelsen ind på 9940 2020

4.Hvornår skal du lave en intern anmeldelse af en sikkerhedshændelse?

Der skal foretages en intern anmeldelse i det øjeblik, du som ansat eller studerende bliver bekendt med, at der er sket enten en teknisk eller organisatorisk informationssikkerhedshændelse.

Da nogle sikkerhedshændelser med personoplysninger skal anmeldes til datatilsynet, og denne anmeldelse skal ske uden unødig forsinkelse og senest 72 timer efter at AAU er blevet bekendt med hændelsen, er det af yderste vigtighed, at du anmelder en sikkerhedshændelse, så snart hændelsen er opdaget.

5.Hvad sker der, når du har anmeldt en sikkerhedshændelse med personoplysninger?

Sikkerhedshændelser med personoplysninger videreformidles til GDPR – enheden, der sagsbehandler den enkelte sikkerhedshændelse med følgende punkter:

  • Hvad er der sket, hvor mange personer er omfattet af hændelsen, hvilke typer af personoplysninger er indeholdt og hvordan kan man stoppe ”ulykken”
  • Koordinerer at ”ulykken” stoppes, det vil sige at de personoplysninger, der f.eks. er sendt til den forkerte modtager, bliver trukket tilbage eller modtageren bliver bedt om at slette oplysninger og dokumentere dette.
  • Vurderer om sikkerhedshændelsen har et indhold og en størrelse, at den skal indberettes til datatilsynet, om indberetter om nødvendigt til datatilsynet.
  • Vurderer om sikkerhedshændelsen kan have så store konsekvenser for den/de registrerede, at disse skal underrettes, og underretter om nødvendigt disse.
  • Koordinerer en undersøgelse af, om AAU kan forebygge tilsvarende hændelser ved at lave yderligere organisatoriske eller tekniske sikkerhedsforanstaltninger

I hele denne sagsbehandling samarbejder GDPR-enheden med de aktører på AAU, der kan bidrage til opgavens løsning.

6.Ansvarlighed og intern dokumentation  

Uanset om der er tale om en sikkerhedshændelse, der skal anmeldes til datatilsynet eller ej, så er AAU som dataansvarlig forpligtet til at kunne dokumentere alle oplysninger vedr. den enkelte sikkerhedshændelse.

Formålet med denne dokumentationspligt er, at datatilsynet kan kontrollere, om forpligtelsen i databeskyttelsesforordningen til at anmelde visse brud på persondatasikkerheden er overholdt. Det er derfor afgørende, at man som ansat eller studerende ved AAU anmelder samtlige informationssikkerhedshændelser, man bliver bekendt med.

Oprindelse, baggrund og historik

Reglerne er udarbejdet første kvartal 2019 som udmøntning af direktionens beslutning om, at sagsbehandling, herunder vurdering, koordinering og evt. indberetning af sikkerhedshændelser med personoplysninger ligger i den centrale GDPR – enhed under ITS.

Formål og afgrænsning

Formålet med disse regler er at alle, herunder særligt ansatte og studerende på AAU får viden om, hvad en sikkerhedshændelse er, og hvordan man som ansat/studerende etc. på AAU skal anmelde en sikkerhedshændelse.

Kontakt og ansvar

Ansvaret for udarbejdelse af disse interne regler ligger i den AAU´s centrale GDPR – enhed.

Kontaktperson:

Dorthe Bach

Specialkonsulent

GDPR – enheden

dob@its.aau.dk

Søg i AAU håndbogen

Målgruppe

  • Det Humanistiske Fakultet
  • Det Ingeniør- og Naturvidenskabelife Fakultet
  • Det Samfundsvidenskabelige Fakultet
  • Det Sundhedsvidenskabelige Fakultet
  • Ansatte på AAU
  • Det Tekniske Fakultet for IT og Design
  • Fælles Service
  • Institutter
  • Skoler
  • Studienævn

Kategori

  • Fysiske forhold
  • Bolig til udenlandske studerende og ansatte
  • Byggeri og bygningsdrift
  • Fysisk arbejdsmiljø
  • Lejemål
  • Lokaler
  • Miljø
  • Sikkerhed
  • Udendørs arealer
  • Organisation
  • Forsikring
  • GDPR
  • Strategi og udvikling
  • Styrelsesspørgsmål
  • Styrende organer
  • Personale
  • Ansættelse
  • Arbejdsmiljø
  • Barsel
  • Ferie
  • Fratrædelse
  • Internationale medarbejdere
  • Kompetenceudvikling
  • Samarbejde
  • Sygdom
  • Kommunikation
  • Design og logo
  • Intern kommunikation
  • Markedsføring
  • PR og presse
  • Sprog og oversættelse
  • Forskning
  • Forskningsregistrering i VBN
  • Input fra fakulteterne
  • Ph.d.
  • Økonomi
  • Anlæg
  • Bogholderi
  • Budget
  • e-handel
  • Indkøb
  • Projektøkonomi
  • Prophix
  • Qlikview
  • Regnskab
  • Rejser
  • RES
  • RUS2
  • Statistik
  • Økonomistyring
  • Uddannelse
  • Hjemmesider om uddannelse
  • Internationalisering
  • Klager dispensationer og disciplinære foranstaltninger
  • Kvalitetssikring og akkreditering
  • Optagelse orlov og udmeldelse
  • Undervisning eksamen og merit
  • IT
  • Hjemmesider
  • IT - diverse
  • IT Services
  • Scanpas-vejledninger

Type

  • Politik
  • Procedure
  • Regel
  • Et godt råd