Vejledning om håndtering af brud på persondata­sikkerheden

I en ny vejledning fra Datatilsynet er der hjælp at hente i forhold til forståelsen af databeskyttelsesforordningens forpligtelse til at anmelde brud på datasikkerheden.

NVI_Portrætter_done_066.JPG

Med databeskyttelsesforordningen indføres en forpligtelse for den dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet. Dette krav gælder alle brud på datasikkerheden, medmindre det er usandsynligt, at bruddet indebærer ”en risiko for fysiske personers rettigheder eller frihedsrettigheder”. Anmeldelsen skal ske ”uden unødig forsinkelse” og helst senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet.

Der gælder også en forpligtelse til at underrette de personer, der berøres af et brud på datasikkerheden. Dette har også været et krav hidtil på baggrund af Datatilsynets praksis og kravet om god databehandlingsskik, men nu fremgår det direkte af databeskyttelsesforordningen. Denne underretning skal ske uden unødig forsinkelse, efter at bruddet på datasikkerheden er påvist.

Vejledningen oplister en række forhold, der kan hjælpe til vurderingen af, om et brud på datasikkerheden skal anmeldes. Herudover gennemgår vejledningen de indholdsmæssige krav til anmeldelsen til Datatilsynet samt underretningen til de berørte personer.

Datatilsynet oplyser i vejledningen, at der arbejdes på at etablere en digital løsning til brug for anmeldelser af brud på datasikkerheden.

Vejledningen kan læses her.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet