Statistikken omfatter brud på persondatastikkerheden, som Datatilsynet modtager anmeldelser af i henhold til databeskyttelsesforordningen
Grundlaget for statistikken er antallet af anmeldelser om brud på persondatasikkerheden efter GDPR (databeskyttelsesforordningen). Omfatter et brud på persondatasikkerheden flere dataansvarlige, for eksempel hvis bruddet er sket hos en databehandler, som flere dataansvarlige benytter, opretter Datatilsynet som hovedregel en sag per dataansvarlig, som anmelder bruddet. Et sådant brud tæller derfor i statistikken som flere sager.
Følgende anmeldelser om brud medtages ikke i statistikken
- Opfølgende anmeldelser på allerede anmeldte sikkerhedsbrud
- Brud, som anmeldes til Datatilsynet efter Retshåndhævelsesloven
- Grænseoverskridende brud på persondatasikkerheden, som er anmeldt gennem Det Europæiske Databeskyttelsesråds samarbejdsportal
Da statistikken vedrører anmeldte brud, viser statistikken ikke det faktiske antal brud på persondatasikkerheden, men kun de brud, der anmeldes til Datatilsynet. Datatilsynet er ikke bekendt med, hvor stor en procentdel af alle brud på persondatasikkerheden, der anmeldes til Datatilsynet.
Forskelle på statistik på anmeldte brud og statistik på hændelsestyper
- Antal anmeldte brud: Datatilsynet har registreret anmeldelser om brud på persondatastikkerheden siden databeskyttelsesforordningen trådte i kraft den 25. maj 2018. Du kan derfor se antallet af anmeldte brud tilbage fra 2018. Vær opmærksom på, at tallet fra 2018 derfor kun dækker godt syv måneder.
- Antal hændelser: Datatilsynet har siden uge 17, 2020 inddelt og kategoriseret de modtagne anmeldelser i hændelsestyper. Der findes derfor ikke statistik på hændelsestyper og deres fordeling forud for dette tidspunkt. Du kan læse mere om de forskellige typer hændelser her. Vær opmærksom på, at en sag kan have flere hændelsestyper, hvorfor summen af antal brud og antal hændelser ikke altid stemmer overens.
Statistikken er dynamisk
Grundlaget for statistikken opdateres løbende. Det betyder, at der kan ske ændringer i de data, der danner grundlag for statistikken. Data kan fx ændre sig, hvis tilsynet vurderer, at en anmeldelse om et brud på persondatasikkerheden, reelt ikke er at betragte som et brud på persondatasikkerheden som det er defineret i forordningen. Data kan også ændre sig, hvis tilsynet for eksempel kommer i besiddelse af nye informationer, der gør, at hændelsestypen for et brud omkategoriseres fra en hændelsestype til en eller flere andre.
Beskyttelse af følsomme oplysninger
Det er ikke formålet at kunne henføre brud til konkrete dataansvarlige og Datatilsynet tilstræber derfor, at enkelte dataansvarlige ikke kan identificeres ud fra statistikken. Tilsynet diskretionerer datasæt i det omfang, som det skønnes nødvendigt for, at dataansvarlige ikke kan identificeres. Datatilsynet er endvidere opmærksom på, at oplysninger om forekomsten af bestemte hændelsestyper (for eksempel ransomware eller lignende), ikke skal kunne bruges til at identificere aktuelle sårbarheder hos de dataansvarlige. Derfor udstilles data på månedsbasis en måned efter afslutningen af en måned og data på ugebasis udstilles 30 dage efter afslutningen af en uge. Ligeledes udstilles data om hændelsestyper foreløbigt på Niveau 1 af Enisas taksonomi. Læs mere om dette under 'Hændelsestyper'.