Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofie Axelsson
Ane Rode
Oskar Engman
Thomas Hagen
Halvor Manshaus
Paal-André Storesund
Johan Woo Kvandal
Markant stigning i databrud og tredjepartsafhængighed under GDPR
I 2025 registrerede IMY næsten 90 procents stigning i indberettede persondatahændelser med 12.276 sager og ca. 1,5 mio. berørte. Store leverandørbrud ramte mange dataansvarlige samtidig, hvilket tydeliggør koncentrations- og afhængighedsrisici ved fælles it løsninger.
Enkelte sårbarheder hos tjenesteudbydere udviklede sig til omfattende hændelser. Flere større sager skyldtes ransomware med dataeksfiltration og trusler om offentliggørelse. IMY har indledt tilsyn i to sager, hvor læk ramte betydelige dele af befolkningen.
Praktiske compliance-punkter: leverandørstyring og hændelseshåndtering
Et læk er ikke i sig selv et GDPR brud, men et systematisk databeskyttelsesprogram reducerer sandsynlighed og konsekvens. Centrale greb er leverandørrisikovurdering, kontraktstyring med databehandlere og tekniske foranstaltninger efter art. 32.
Organisationer bør sikre effektiv incident response og rettidig underretning efter art. 33–34, hvor relevant. Det styrker samlet robusthed og afgrænser skade ved leverandør og ransomwarehændelser.
