Datatilsynet har konstateret, at mange dataansvarlige ikke underretter berørte personer korrekt ved databrud eller ikke kan dokumentere, at underretning er sket. Myndigheden har derfor udsendt ny vejledende tekst om indhold og bevis for underretninger. Pligten gælder, når bruddet medfører høj risiko for de registreredes rettigheder og frihedsrettigheder.
Underretning ved høj risiko
Den dataansvarlige skal foretage en risikovurdering og, ved høj risiko, kommunikere direkte og klart til de berørte. Underretningen skal beskrive hændelsen på et forståeligt niveau, angive sandsynlige konsekvenser samt redegøre for trufne og anbefalede foranstaltninger, så de registrerede kan begrænse skadevirkninger. Hvor risikoen ikke er høj, bør vurderingen dokumenteres, og anmeldelse til Datatilsynet håndteres efter reglerne om brudsanmeldelse.
Kommunikationen skal ske uden unødig forsinkelse og i et sprog, der er let at forstå. Standardtekster bør tilpasses den konkrete hændelse for at sikre tilstrækkelig information.
Dokumentation og praksis
Dataansvarlige skal kunne bevise, at underretning har fundet sted. Bevis kan eksempelvis være kopi af brev eller e-mail, afsendelseslog eller notat om telefonisk kontakt med angivelse af indholdet. Det er ikke tilstrækkeligt alene at oplyse i anmeldelsen til Datatilsynet, at underretning er sket, eller at henvise til intern korrespondance.
Praktisk bør organisationer have faste procedurer for hændelseshåndtering, godkendte skabeloner til underretning, klare ansvarsplaceringer og en politik for opbevaring af dokumentation. Løbende træning understøtter en ensartet og rettidig efterlevelse.
