Databrud – hvordan håndterer du det, og hvad er dine forpligtelser?

Compliance IT-ret EU-ret Persondata og cybersikkerhed

Databrud kræver hurtig risikovurdering, anmeldelse til Datatilsynet inden 72 timer og, ved høj risiko, underretning af de berørte. Få overblik over definitionen af databrud, typiske hændelser og de vigtigste tekniske og organisatoriske skridt, der styrker efterlevelse og minimerer skade.

Gabriel L. Martiny

Gabriel L. K. Martiny

Christine Friedlænder

Pligt til anmeldelse og underretning

Ved et brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse vurdere hændelsen og, medmindre risikoen for de registreredes rettigheder er usandsynlig, anmelde bruddet til Datatilsynet inden 72 timer. Anmeldelse sker via virk.dk.

Anmeldelsen skal beskrive hændelsens karakter, antallet af berørte personer og poster, sandsynlige konsekvenser samt trufne eller planlagte afhjælpende foranstaltninger. Medfører bruddet høj risiko, skal de berørte registrerede desuden informeres uden unødig forsinkelse i klar og enkel form, så de kan begrænse konsekvenserne, fx ved at ændre adgangskoder.

Hvad udgør et databrud

Et databrud er enhver sikkerhedshændelse, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger. Begrebet omfatter både eksterne angreb og interne fejl.

Brud kan opstå i mange situationer og er ikke begrænset til avancerede cyberangreb. Menneskelige fejl og utilstrækkelige adgangskontroller er hyppige årsager.

Typiske scenarier omfatter blandt andet:

Hacking og kompromittering af systemer for at tilgå eller stjæle data.
Phishing, hvor brugere narres til at udlevere legitimationsoplysninger.
Malware, der skaffer adgang eller ødelægger data.
Tab eller tyveri af bærbare enheder med personoplysninger.
Uautoriseret intern adgang til data uden sagligt behov.
Fejlsendt e-mail eller fil med personoplysninger.

Praktisk håndtering og forebyggelse

Den korte frist for anmeldelse kræver en forberedt og dokumenterbar proces. Etabler skriftlige procedurer, roller og eskalationsveje for identifikation, vurdering og håndtering af databrud. Dokumentér altid de faktiske omstændigheder, den foreløbige risikovurdering, beslutninger og afhjælpende tiltag – materialet kan blive efterspurgt af Datatilsynet.

Forebyggelse bør bygge på passende tekniske og organisatoriske foranstaltninger ud fra en risikobaseret tilgang. Træn medarbejdere i sikker adfærd, test detektering og beredskab regelmæssigt, og sørg for, at logning og adgangsstyring muliggør hurtig afklaring af hændelsesforløb.

Følgende elementer styrker efterlevelsen og reducerer skader ved brud:

Klar governance: ansvarlige personer, kontaktpunkter og beslutningskompetence.
Detektion og inddæmning: overvågning, loganalyse, isolering af kompromitterede systemer og nulstilling af legitimationsoplysninger.
Standardiseret kommunikation: skabeloner til anmeldelse og underretning, herunder beskrivelse af konsekvenser og anbefalede tiltag for de berørte.

Læs hele artiklen hos WTC advokaterne →

Søgeord