Husker du at underrette de registrerede, når der sker databrud?

Nyhed
24.06.2024

Når der sker et brud på persondatasikkerheden, kan det få alvorlige konsekvenser for den person, det er gået ud over. Derfor er det vigtigt, at du husker at underrette alle de personer, der berørt af databruddet, hvis bruddet medfører høj risiko.

Hvad en underretning til de berørte registrerede skal indeholde, fremgår af GDPR. Men det sker alligevel, at både private og offentlige myndigheder ikke får underrettet på den rigtige måde eller ikke kan dokumentere, at der er sket underretning. Det har Datatilsynet netop konkluderet på baggrund af et tilsyn hos en række private virksomheder og offentlige myndigheder. Derfor har Datatilsynet nu udgivet en ny vejledende tekst, der skal hjælpe de dataansvarlige med at overholde regler for underretning og dokumentation.

 

Du skal underrette, når der er høj risiko for de registrerede

Som dataansvarlig er du forpligtet til at vurdere, om databruddet medfører høj risiko for den registrerede – hvis det er tilfældet, så har du pligt til at underrette de personer, der er berørt af bruddet.

 

Underretningen skal sikre, at de registrerede kan tage deres forholdsregler, så de påvirkes mindst muligt af databruddet. Derfor skal underretningen indeholde en række oplysninger om, hvad der er sket. Det er altså disse oplysninger, som Datatilsynet mener, at de dataansvarlige ikke altid får givet til de registrerede.

 

Vi har lavet en guide til dig med alle oplysninger om, hvornår og hvordan du underretter, hvis der er sket et sikkerhedsbrud i din organisation.

Sådan får du styr på din dokumentation for underretningen

 

Datatilsynet gør desuden opmærksom på, at den dataansvarlige skal kunne dokumentere, at underretningen af de registrerede er sket.

 

Du skal altså kunne fremvise en kopi af underretningsbrevet eller på anden vis dokumentere, at du har givet oplysningerne om databruddet til den registrerede. Det kan f.eks. være et notat om, at du har haft telefonisk kontakt med den registrerede, samt hvilke oplysninger du har givet telefonisk.

 

Det er Datatilsynets vurdering, at det ikke er tilstrækkelig dokumentation, at du har oplyst i anmeldelsesblanketten til Datatilsynet, at du har underrettet de registrerede, lige som det heller ikke er tilstrækkeligt at have en intern korrespondance om, hvad underretningen skal indeholde.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Har du brug for hjælp til at sikre, at du overholder gældende GDPR-regler, eller er du tvivl om, hvordan du skal foretage en underretning, så er du velkommen til at kontakte vores specialister i databeskyttelse. Vi vil altid gerne hjælpe dig.

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev