Databrud

Et databrud er et sikkerhedsbrud, der fører til uautoriseret adgang til, tab af eller ændring af persondata. GDPR kræver, at du anmelder bruddet til Datatilsynet inden 72 timer, og i visse tilfælde også underretter de berørte personer.

Tilbage til ordbog

Hvad er et databrud?

Et databrud (også kaldet brud på persondatasikkerheden) er defineret i GDPR artikel 4, nr. 12. Det dækker enhver sikkerhedshændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata.

Det er vigtigt at forstå, at et databrud ikke kun handler om hackerangreb. En medarbejder, der sender en e-mail med persondata til den forkerte modtager, er også et databrud. Det samme gælder tab af en usb-nøgle med kundeoplysninger eller utilsigtet sletning af data uden backup.

Som dataansvarlig har du pligt til at opdage, vurdere og håndtere databrud. Dine databehandlere skal ifølge databehandleraftalen underrette dig uden unødig forsinkelse, hvis de opdager et brud.

Typer af databrud

GDPR og det europæiske databeskyttelsesråd (EDPB) skelner mellem tre typer databrud:

Fortrolighedsbrud: Uautoriseret eller utilsigtet videregivelse af eller adgang til persondata. Eksempel: en hacker får adgang til en kundedatabase.
Integritetsbrud: Utilsigtet eller uautoriseret ændring af persondata. Eksempel: en fejl i et system ændrer kundeoplysninger.
Tilgængelighedsbrud: Utilsigtet eller uautoriseret tab af adgang til persondata. Eksempel: et ransomware-angreb krypterer databasen, og du ikke kan tilgå data.

Et enkelt brud kan falde i flere kategorier samtidig. Et ransomware-angreb kan fx både medføre tab af adgang (tilgængelighed) og risiko for, at angriberen har kopieret data (fortrolighed).

Anmeldelse til Datatilsynet

GDPR artikel 33 kræver, at du anmelder et databrud til Datatilsynet inden 72 timer efter, at du er blevet opmærksom på bruddet. Tidsfristen gælder, medmindre bruddet sandsynligvis ikke indebærer en risiko for de registreredes rettigheder og frihedsrettigheder.

Anmeldelsen skal som minimum indeholde:

En beskrivelse af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede
Kontaktoplysninger på din DPO eller anden kontaktperson
En beskrivelse af de sandsynlige konsekvenser
De foranstaltninger, du har truffet eller foreslår at træffe

Hvis bruddet indebærer en høj risiko for de registrerede, skal du også underrette dem direkte (artikel 34). Det gælder fx, hvis følsomme data er lækket til offentligheden.

Selv brud, der ikke skal anmeldes, skal du dokumentere internt. Datatilsynet kan bede om at se din interne log over databrud ved tilsyn.

Håndtering og forebyggelse

En god beredskabsplan for databrud indeholder klare procedurer for, hvem der gør hvad, og hvornår. Planen bør dække:

Opdagelse: Sørg for logning og overvågning, der gør det muligt at opdage brud hurtigt.
Inddæmning: Stop bruddet og begræns skaden. Luk kompromitterede konti, isolér berørte systemer.
Vurdering: Fastslå omfanget, typen af data og antallet af berørte registrerede.
Anmeldelse: Anmeld til Datatilsynet og underret registrerede, hvis nødvendigt.
Efterbehandling: Evaluer hændelsen, opdater foranstaltninger og dokumentér i din fortegnelse.

Forebyggelse handler om solid behandlingssikkerhed. Kryptering, adgangskontrol og regelmæssig træning af medarbejdere reducerer risikoen markant. Privacy by design sikrer, at sikkerhed tænkes ind fra starten.

Ofte stillede spørgsmål om databrud

Hvad er et databrud ifølge GDPR?

Et databrud er et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata. Det dækker alle typer sikkerhedshændelser, der berører persondata, uanset om de er forårsaget af hacking, menneskelige fejl eller tekniske svigt.

Hvornår skal man anmelde et databrud til Datatilsynet?

Du skal anmelde et databrud til Datatilsynet inden 72 timer, medmindre bruddet sandsynligvis ikke indebærer en risiko for de registreredes rettigheder og frihedsrettigheder. Tidsfristen løber fra det tidspunkt, du bliver opmærksom på bruddet.

Skal de registrerede altid informeres om et databrud?

Nej, kun når bruddet sandsynligvis indebærer en høj risiko for de registreredes rettigheder. Er data fx krypteret, og nøglen ikke er kompromitteret, behøver du typisk ikke underrette de berørte personer.

Hvad sker der, hvis man ikke anmelder et databrud?

Manglende anmeldelse kan føre til bøder på op til 10 mio. euro eller 2 % af den globale årsomsætning. Derudover kan det skade tilliden hos kunder og samarbejdspartnere og medføre påbud fra Datatilsynet.