“Når databeskyttelsesforordningen finder anvendelse i Danmark og resten af EU fra den 25. maj 2018, vil der – som noget nyt – gælde en generel forpligtelse for alle dataansvarlige til som udgangspunkt at anmelde brud på persondatasikkerheden til Datatilsynet.”
Sådan indledes en ny “Vejledning om håndtering af brud på persondatasikkerheden” fra Datatilsynet, og det er et krav, der rejser en række spørgsmål, som for eksempel: Hvornår er der egentlig tale om et brud på persondatasikkerheden? Hvor lang tid har vi, fra vi opdager et brud, til vi skal have indberettet det til Datatilsynet? Og hvordan skal vi underrette de personer, der er “ofre” for bruddet?
Her kommer den nye vejledning heldigvis til god gavn. Vejledningens tre hovedkapitler hedder:
- “Brud på Datasikkerheden”, der beskriver de forskellige typer af brud, som Datatilsynet opererer med,
- “Anmeldelse til Datatilsynet”, der beskriver databehandlerens forpligtelser, tidsfrister, hvilke oplysninger, der skal med i en anmeldelse og – vigtigt nok – hvornår en anmeldelse IKKE er nødvendig, og
- “Underretning af den registrerede”, der beskriver hvornår og hvordan, de personer, hvis informationer er blevet kompromitteret, skal underrettes.
Find vejledningen her.