Anmeld brud på persondatasikkerheden

Er du selv dataansvarlig, kan du anmelde brud på persondatasikkerheden til Datatilsynet.

Anmeld persondatasikkerhedsbrud

 

Hvad gør Datatilsynet med de anmeldte brud på persondatasikkerheden?

Datatilsynet modtager flere hundrede anmeldelser af brud på persondatasikkerheden om ugen fra virksomheder og offentlige myndigheder.

Screening og visitation af anmeldelserne

Datatilsynet screener løbende alle anmeldte brud på persondatasikkerheden med henblik på at vurdere, om der er grundlag for at foretage sig yderligere i anledning af anmeldelsen. Datatilsynet foretager f.eks. en vurdering af hændelsens karakter og omfang, typerne af de omfattede personoplysninger, den dataansvarliges og evt. databehandlernes trufne foranstaltninger – både før og efter hændelsen – samt hvorvidt de påvirkede personer er blevet underrettet eller bør underrettes.

Datatilsynet foretager også altid en kategorisering af de anmeldte hændelser ud fra tilsynets hændelsestaksonomi. Dette sker for at sikre bedre viden om, hvilke typer af brud der anmeldes, hvilket bruges som led i tilsynets forebyggende og vejledende virksomhed. Læs mere om Datatilsynets statistik over anmeldte brud her

I mange tilfælde er det ikke nødvendigt, at Datatilsynet foretager sig yderligere i anledning af anmeldelsen, og behandlingen af anmeldelsen afsluttes telefonisk eller med et afsluttende brev, som ikke er en formel afgørelse. I disse afsluttende breve, tager Datatilsynet således ikke stilling til, hvorvidt der er sket en overtrædelse af de databeskyttelsesretlige regler. Brevet kan bl.a. indeholde anbefalinger, som vurderes relevante i forhold til det anmeldte.

Iværksættelse af yderligere undersøgelser

Henset til det store antal anmeldelser, som Datatilsynet modtager, har tilsynet ikke mulighed for at foretage en tilbundsgående undersøgelse af alle brud. Nogle anmeldelser giver imidlertid anledning til supplerende spørgsmål og overvejelse af yderligere tiltag. Det kan være anmeldelser, som fremstår ufuldstændige eller uforståelige, eller som kræver opfølgning, efter at anmelder har foretaget undersøgelser af årsagen til bruddet. Yderligere undersøgelser sker typisk gennem høring af den dataansvarlige og eventuelle databehandlere. Hvilke skridt Datatilsynet foretager i forlængelse af de anmeldte brud beror på en konkret vurdering af, hvad der ud fra en hensigtsmæssig anvendelse af tilsynets ressourcer samlet set vurderes at være relevant og formålstjenesteligt.  

Uanset om Datatilsynet indhenter yderligere oplysninger om et brud, vil tilsynet ofte også afslutte behandlingen af sådanne anmeldelser telefonisk eller med et afsluttende brev som nævnt ovenfor.

Hvis Datatilsynet vurderer, at der er sket en overtrædelse af de databeskyttelsesretlige regler, kan tilsynet imidlertid også vælge at træffe en afgørelse, hvor der udtales kritik eller alvorlig kritik. Tilsynet vil også kunne meddele påbud om, at den dataansvarlige eller databehandleren skal iværksætte specifikke foranstaltninger og/eller underrette de påvirkede personer. I sager, hvor Datatilsynet vurderer, at overtrædelsen har en vis alvor, kan tilsynet også vælge at anmelde forholdet til politiet, som herefter behandler sagen.

Hvis mange dataansvarlige har anmeldt sikkerhedsbrud vedrørende den samme hændelse hos en databehandler, kan Datatilsynet vælge at starte en sag af egen drift over for databehandleren. Det kan også ske, at en sag startes af egen drift på baggrund af mange tilsvarende anmeldelser fra den samme dataansvarlige over en længere periode.

På Virk.dk finder du den elektroniske blanket, hvor de relevante felter for indberetning til Datatilsynet er krydset af. Du kan derfor på forhånd se, hvilke spørgsmål du vil blive stillet, når du indberetter.

Spørgsmålene i blanketten tager højde for databeskyttelsesforordningens minimumskrav til, hvad en anmeldelse til Datatilsynet skal indeholde.

Du vil derfor blive bedt om at:

  • Beskrive karakteren af bruddet på persondatasikkerheden
  • Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Beskrive de foranstaltninger, som du har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

Når du udfylder blanketten, vil du kunne finde korte hjælpetekster til en del af spørgsmålene.

De oplysninger, anmeldelsen som minimum skal indeholde, skal bidrage til, at Datatilsynet får mulighed for at følge og vurdere, at håndteringen af det anmeldte brud på persondatasikkerheden sker på en hensigtsmæssig måde. Datatilsynet kan også anvende oplysningerne i forbindelse med vurderingen af, hvorvidt der er behov for, at tilsynet træffer en afgørelse i forhold til spørgsmålet om underretning af de registrerede, hvis dette endnu ikke er sket, eller hvis Datatilsynet overvejer at gøre brug af sine korrigerende beføjelser til midlertidigt eller definitivt at begrænse, herunder forbyde en behandling.

Det kan være en hjælp for Datatilsynet, hvis anmeldelsen suppleres med alle relevante oplysninger relateret til bruddet. Datatilsynet vil også kunne bede om yderligere oplysninger af dig efterfølgende, hvis tilsynet vurderer det nødvendigt i forbindelse med vurderingen af anmeldelsen. På Virk.dk er det muligt at indberette til flere myndigheder på én gang. Der vil derfor indledningsvist blive stillet nogle spørgsmål, der skal afklare, hvad sikkerhedshændelsen handler om, og hvilken myndighed indberetningen skal sendes til. Blanketten er dynamisk, så alt efter hvilke felter der udfyldes, skal der svares på supplerende spørgsmål.

OBS: Husk ikke at indsætte eller skrive personoplysninger om de berørte personer i blanketten, ud over dem der eksplicit bliver spurgt til, f.eks. anmelders navn og kontaktinformation.

Du kan læse mere om emnet i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden.

Når du har udfyldt blanketten på Virk.dk, vil den blive sendt til Erhvervsstyrelsen. Herefter vil den automatisk blive sendt videre til de relevante myndigheder.

Har du anmeldt et brud på persondatasikkerheden, vil din anmeldelse derfor automatisk blive sendt til Datatilsynet. Hvis det bliver aktuelt, vil du efterfølgende blive kontaktet af os.

Husk at downloade en kopi af blanketten, når du har sendt den. Alle anmeldelser slettes i Erhvervsstyrelsens systemer efter 30 dage. Din downloadede kopi er derfor dit bevis på, at du har foretaget en indberetning.

For at gøre det nemt og enkelt for virksomheder og myndigheder at indberette sikkerhedshændelser på databeskyttelsesområdet og en række andre områder, er der på Virk.dk etableret én fælles digital løsning for anmeldelser af sikkerhedshændelser.

Initiativet skal understøtte, at virksomhederne og myndighederne kun skal indberette hændelser én gang, ét sted frem for at skulle indberette stort set samme information flere steder.  

Indberetningsløsningen kan håndtere forskellige myndigheders krav til information og gennem de spørgsmål, der stilles i en elektronisk blanket, kanaliserer den indberetningerne til den eller de rette myndighed(er). 

Mine oplysninger er kommet i de forkerte hænder

Denne side henvender sig til dataansvarlige, som skal anmelde til Datatilsynet, hvis de selv har haft et brud på persondatasikkerheden. Hvis du har fundet ud af, at dine oplysninger er omfattet af sådan et brud, kan du her læse om, hvordan du skal forholde dig.

Hvornår skal jeg anmelde?

Den dataansvarlige skal i tilfælde af et brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer foretage anmeldelse af bruddet til Datatilsynet via Virk.dk, medmindre det er usandsynligt, at bruddet medfører en risiko for personers rettigheder eller frihedsrettigheder.

Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.