Datatilsynet har opdateret vejledningen om håndtering af brud på persondatasikkerheden. Dataansvarlige skal anmelde brud uden unødig forsinkelse og senest inden 72 timer samt informere de berørte, hvis bruddet medfører høj risiko. Vejledningen præciserer praksis og giver nye eksempler på, hvornår hændelser udgør et brud.
Et brud er enhver hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret offentliggørelse af eller adgang til personoplysninger. Typiske scenarier omfatter blandt andet:
- Fejlsendt eller ulovlig videregivelse af oplysninger.
- Tab eller tyveri af bærbar computer eller USB-medie.
- For brede adgangsrettigheder til netværksdrev og systemer.
- Ransomware eller anden kompromittering af systemer.
Virksomheder bør have en operativ beredskabsplan med klare roller, herunder hvem der kan indgive anmeldelsen, hvilke oplysninger der skal indsamles, og hvordan risici vurderes. Databehandlere kan anmelde på vegne af den dataansvarlige, men ansvaret ligger fortsat hos den dataansvarlige. Beslutninger og vurderinger bør dokumenteres, herunder begrundelser for eventuelle forsinkelser, for at opfylde kravene i GDPR art. 33 og 34.
