Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofia Studencki
Sofie Axelsson
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund
Ole G. Klevan
Højere tærskel for anmeldelse af brud på persondatasikkerheden
Det norske Datatilsynet har opdateret sin vejledning om brudsanmeldelser og hæver de facto tærsklen for, hvornår en hændelse skal indberettes. Formuleringer ændres fra “skal” til “kan”, den tidligere anbefaling om at anmelde ved tvivl er fjernet, og forsendelsesfejl er nedprioriteret i eksemplerne.
Baggrunden er myndighedens begrænsede ressourcer og et ønske om en mere risikobaseret prioritering. GDPR art. 33 og 34 er uændrede, men signalet er, at ikke alle sikkerhedshændelser nødvendigvis udløser anmeldelsespligt. Vurderingen skal fortsat bero på sandsynlighed og alvor af risikoen for de registreredes rettigheder.
Praktiske konsekvenser for dataansvarlige og databehandlere
Organisationer bør styrke deres incident triage, fastlægge klare notifikationskriterier og sikre robust dokumentation for beslutninger – særligt når man undlader at anmelde. En intern log over hændelser og begrundelser er central for accountability.
Samtidig skal procedurer for kommunikation til registrerede opretholdes, hvis der foreligger høj risiko. Opdater politikker, træning og databehandleraftaler, så processer afspejler en konsekvent, risikobaseret tilgang uden at svække beskyttelsesniveauet.
