Datatilsynet har afsluttet skriftlige tilsyn med offentlige og private aktørers underretninger efter brud på persondatasikkerheden. Tilsynene viser mangler i flere underretninger og understreger, at alle påkrævede oplysninger skal med, og at den dataansvarlige skal kunne dokumentere skriftlig underretning. I et tilfælde udtalte tilsynet kritik for manglende bevis for korrekt underretning.
Krav til underretningen
Underretning skal som udgangspunkt ske, når et brud sandsynligvis indebærer høj risiko for de registreredes rettigheder. Formålet er at sætte den registrerede i stand til at begrænse skade og beskytte sine rettigheder.
Underretningen skal i klart sprog beskrive bruddets karakter, sandsynlige konsekvenser, relevante anbefalinger til de registrerede samt de foranstaltninger, den dataansvarlige har truffet eller vil træffe. Oplysningerne skal være tilstrækkeligt detaljerede til at understøtte rettighedsudøvelse.
Praksis og dokumentation
Den dataansvarlige skal kunne påvise efterlevelse, herunder at underretningen er sket skriftligt, rettidigt og målrettet de berørte. Systematisk logning, faste skabeloner og intern kvalitetssikring kan styrke dokumentationen og ensartetheden.
Datatilsynet har udarbejdet en vejledende tekst om kravene til underretning. Læs mere under Håndtering af brud på persondatasikkerheden: De databeskyttelsesretlige krav til underretning af registrerede..
