Hvornår er et databrud anmeldelsespligtigt til Datatilsynet?

Et databrud er anmeldelsespligtigt til Datatilsynet, medmindre det er usandsynligt, at bruddet vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder, jf. GDPR art. 33, stk. 1. Tærsklen er lav — virksomheden skal ikke vente med at anmelde, fordi den ikke er sikker. Ifølge EDPB (European Data Protection Board) vejledning 01/2021 og Datatilsynets vejledning er typiske anmeldelsespligtige brud: (1) uautoriseret adgang til personoplysninger (hacking, insidertrussel), (2) ransomware med datakryptering og potentiel eksfiltrering, (3) fejlsending af e-mail med personoplysninger til mange forkerte modtagere, (4) mistede/stjålne enheder med ukrypterede personoplysninger, (5) utilsigtede publiceringer af personoplysninger på hjemmesider, og (6) tab af personoplysninger hos en databehandler. Brud, der typisk IKKE er anmeldelsespligtige: (1) kortvarigt systemnedbrud uden data-tab eller eksponering, (2) fejlsending til én enkelt forkert modtager af ikke-følsomme oplysninger, (3) tekniske fejl, der straks opdages og rettes, uden at personoplysninger er kompromitteret. Ved tvivl anbefaler Datatilsynet at anmelde — en unødig anmeldelse er bedre end en manglende anmeldelse.

Hvad er konsekvenserne af at overskride 72-timers-fristen for anmeldelse?

Overskridelse af 72-timers-fristen i GDPR art. 33 er en overtrædelse, der kan medføre sanktioner fra Datatilsynet. Bøder for overtrædelse af art. 33 (anmeldelsespligten) er hjemlet i GDPR art. 83, stk. 4, og udgør op til 10 mio. euro eller 2 % af virksomhedens samlede globale omsætning i det foregående regnskabsår (den højeste af de to). I praksis anvender Datatilsynet en proportional tilgang: en kortvarig overskridelse med en fyldestgørende forklaring og dokumentation for, at virksomheden har gjort en reel indsats for at overholde fristen, behandles lempeligere end systematisk ignorering af anmeldelsespligten. Formildende omstændigheder: virksomheden havde en forberedt beredskabsplan, ledelsen var proaktiv i håndteringen, der er truffet effektive afhjælpende foranstaltninger, og virksomheden samarbejder fuldt ud med Datatilsynet. Skærpende omstændigheder: gentagne overtrædelser, forsøg på at skjule bruddet, manglende samarbejde, og at bruddet involverer særlige kategorier af personoplysninger (helbredsdata, CPR-numre). Datatilsynet offentliggør navnegivne afgørelser, der kan medføre omdømmeskade ud over den egentlige bøde.

Hvornår skal de registrerede underrettes direkte om et databrud?

De registrerede skal underrettes direkte, når databruddet sandsynligvis vil medføre en høj risiko for deres rettigheder og frihedsrettigheder, jf. GDPR art. 34. »Høj risiko« er en skærpet standard i forhold til anmeldelsespligten til Datatilsynet (der kræver blot »risiko«). Høj risiko foreligger typisk ved: (1) lækage af CPR-numre, kreditkortnumre eller bankkontonumre (risiko for identitetstyveri og finansielt tab), (2) eksponering af helbredsoplysninger, psykiatriske diagnoser eller rusmiddeloplysninger (risiko for diskrimination), (3) eksponering af oplysninger om statsborgerskab, religion, seksuel orientering eller politiske holdninger (risiko for diskrimination og forfølgelse), (4) lækage af oplysninger, der kan bruges til afpresning eller chikane, og (5) eksponering af oplysninger om sårbare grupper (børn, ældre, socialt udsatte). Undtagelserne i GDPR art. 34, stk. 3, gælder, hvis oplysningerne var krypteret med stærk kryptografi og nøglen ikke er kompromitteret, afhjælpende foranstaltninger eliminerig den høje risiko, eller individuel underretning kræver uforholdsmæssige bestræbelser (offentlig meddelelse i stedet). Underretningen skal ske uden unødig forsinkelse — Datatilsynet anser typisk 72 timer fra kendskab til bruddet som en retningslinje. Underretningens indhold er specificeret i GDPR art. 34, stk. 2: beskrivelse af bruddet, DPO's kontaktoplysninger, sandsynlige konsekvenser, afhjælpende foranstaltninger.

Hvad gør vi, hvis vores databehandler oplever et databrud?

Databehandlerens forpligtelser ved databrud er reguleret i GDPR art. 33, stk. 2: databehandleren underretter uden unødig forsinkelse den dataansvarlige om bruddet, efter at vedkommende er opmærksom på det. Databehandleraftalen (GDPR art. 28) specificerer typisk en konkret frist — ofte 24-48 timer — som er kortere end den dataansvarliges 72-timers-frist til Datatilsynet, for at den dataansvarlige har tid til at vurdere og anmelde. Praktisk: (1) Sørg for, at alle DPA'er med databehandlere indeholder en klar notifikationsforpligtelse med kortere frist end 72 timer (f.eks. 24 timer). (2) Kontrollér, at DPA'en kræver, at databehandleren leverer de oplysninger, der er nødvendige for den dataansvarliges anmeldelse til Datatilsynet. (3) Den dataansvarlige er ansvarlig for anmeldelsen til Datatilsynet — selv om bruddet skete hos databehandleren. (4) Dokumentér kommunikationsforløbet med databehandleren som en del af det interne brudregister. (5) Vurder om bruddet hos databehandleren giver anledning til at gentænke valget af databehandler eller kræve forbedrede sikkerhedsforanstaltninger.

Skal vi have en DPO (databeskyttelsesrådgiver) til at håndtere databrud?

En DPO (databeskyttelsesrådgiver) er ikke påkrævet af alle virksomheder. GDPR art. 37 kræver udpegelse af DPO i tre tilfælde: (1) offentlige myndigheder og organer (med undtagelse af domstole), (2) virksomheder, der som kerneopgave foretager regelmæssig og systematisk overvågning af registrerede i stor målestok (store dataanalytikere, overvågningsvirksomheder, store e-handelssites), og (3) virksomheder, der som kerneopgave behandler særlige kategorier af personoplysninger (helbredsdata, fagforeningsmedlemskab, biometriske data, straffeoplysninger mv.) i stor målestok — typisk hospitaler, behandlingstilbud, forsikringsselskaber. Virksomheder, der ikke er lovpligtige til at have en DPO, kan frivilligt udpege en. GDPR art. 38 beskytter DPO'ens uafhængighed og tilknytning direkte til topledelsen — en rolle, der er særlig værdifuld ved håndtering af databrud, da DPO'en typisk koordinerer med Datatilsynet. Virksomheder uden DPO bør udpege en GDPR-ansvarlig person med lignende funktioner, selvom titlen er anderledes. Datatilsynet anbefaler, at GDPR-ansvarliges kontaktoplysninger er tilgængelige for de registrerede.

Kan vi bruge Datatilsynets online anmeldelsesskema?

Ja — Datatilsynet stiller et online anmeldelsesskema til rådighed på datatilsynet.dk under »Anmeld databrud«. Det er den anbefalede måde at anmelde et databrud i Danmark. Skemaet guider den dataansvarlige igennem de oplysninger, der kræves efter GDPR art. 33, stk. 3: (1) beskrivelse af bruddets karakter, (2) kategorierne og det omtrentlige antal berørte registrerede og personoplysningsposter, (3) kontaktoplysninger for DPO eller anden kontaktperson, (4) en beskrivelse af de sandsynlige konsekvenser, (5) en beskrivelse af de foranstaltninger, der er truffet eller foreslås for at afhjælpe bruddet og mindske dets negative virkninger. Datatilsynet tillader etapevis anmeldelse, jf. GDPR art. 33, stk. 4: er alle oplysninger ikke tilgængelige inden 72 timer, kan en indledende anmeldelse indsendes med de foreliggende oplysninger og efterfølgende suppleres. En etapevis anmeldelse er bedre end at vente, til alle oplysninger er bekræftede. Datatilsynet kan kontaktes på dt@datatilsynet.dk og tlf. 33 19 32 00 ved tvivl om anmeldelsespligten eller i forbindelse med en aktiv hændelse.

Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden

GDPR art. 33-34 | Databeskyttelsesloven (502/2018) | NIS2 | Datatilsynets vejledning

Identifikation

DATABRUD-BEREDSKABSPLAN

Virksomhed: [Virksomhed Navn] Databeskyttelsesrådgiver (DPO): [Dpo Navn] Sikkerhedsansvarlig (CISO): [Sikkerhed Ansvarlig] Datatilsynets kontakt: [Anmeldelseskontakt] Ikrafttrædelse: [Ikrafttraeden]

1. Formål og lovgrundlag

1.1 Denne databrud-beredskabsplan fastlægger [Virksomhed Navn]s procedurer for opdagelse, vurdering, håndtering, anmeldelse og dokumentation af brud på persondatasikkerheden, jf. databeskyttelsesforordningen (GDPR) art. 33-34 og databeskyttelsesloven (lov nr. 502 af 23/05/2018).

1.2 Et »brud på persondatasikkerheden« (databrud) er defineret i GDPR art. 4, nr. 12, som et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

1.3 Alle medarbejdere og databehandlere, der opdager eller mistænker et databrud, har pligt til straks at rapportere til [Dpo Navn] og [Sikkerhed Ansvarlig].

Trin 1 — Opdagelse og indledende vurdering (0-4 timer)

Enhver mistanke om databrud rapporteres øjeblikkeligt til [Sikkerhed Ansvarlig] og [Dpo Navn] via e-mail og telefon. Den indledende rapportering indeholder: hvad der er opdaget, hvornår det skete, hvem der opdagede det, og hvilke systemer og data der er potentielt berørt.

Første respons: afgræns hændelsen (isolér berørte systemer om muligt), sikr bevis (log-filer, skærmbilleder), og underret den indledende brudresponsteam.

Trin 2 — Risikovurdering (0-24 timer)

[Dpo Navn] og [Sikkerhed Ansvarlig] gennemfører en risikovurdering: hvilke personoplysninger er berørt (kategori og antal berørte registrerede), hvad er det sandsynlige omfang og konsekvens for de registrerede, er hændelsen anmeldelsespligtig til Datatilsynet (GDPR art. 33), er de berørte registrerede i høj risiko og kræver direkte underretning (GDPR art. 34).

Anmeldelsespligtens vurdering: et databrud skal anmeldes til Datatilsynet, MEDMINDRE det er usandsynligt, at bruddet vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder (jf. GDPR art. 33, stk. 1). Den korrekte standard er lav tærskel — tvivl løses til fordel for anmeldelse.

Trin 3 — Anmeldelse til Datatilsynet (senest 72 timer)

Anmeldelse til Datatilsynet sker senest 72 timer efter konstatering af bruddet, jf. GDPR art. 33, stk. 1. Kan anmeldelse ikke ske inden 72 timer, angives årsagen til forsinkelsen i anmeldelsen.

Anmeldelsen indsendes via Datatilsynets anmeldelsesskema på datatilsynet.dk (»Anmeld databrud«) og indeholder, jf. GDPR art. 33, stk. 3: (a) en beskrivelse af bruddet og de berørte kategorier og omtrentlige antal registrerede og poster, (b) kontaktoplysninger for DPO/ansvarlig ([Dpo Navn]), (c) en beskrivelse af de sandsynlige konsekvenser, (d) de foranstaltninger, der er truffet eller foreslås for at håndtere bruddet. Datatilsynets kontakt: [Anmeldelseskontakt].

Trin 4 — Underretning af registrerede (ved høj risiko)

Hvis databruddet sandsynligvis vil indebære en høj risiko for de berørte registrerede (identitetstyveri, diskrimination, finansielt tab, skade på omdømme), skal de berørte underrettes direkte uden unødig forsinkelse, jf. GDPR art. 34. Underretningen sker via e-mail eller brev til de berørte og indeholder: beskrivelse af bruddet, kontaktoplysninger for [Dpo Navn], de sandsynlige konsekvenser og de foranstaltninger, der er truffet.

Datatilsynet kan pålægge [Virksomhed Navn] at underrette de registrerede, hvis vi undlader det. Er de registrerede ikke identificerbare, kan en offentlig meddelelse eller lignende foranstaltning erstatte den individuelle underretning, jf. GDPR art. 34, stk. 3.

6. Dokumentation og fortegnelse

6.1 Alle brud på persondatasikkerheden dokumenteres i en intern fortegnelse (»brudregister«), uanset om de er anmeldelsespligtige til Datatilsynet. Fortegnelsen indeholder alle oplysninger nævnt i GDPR art. 33, stk. 5, herunder omstændigheder, virkninger og de trufne afhjælpende foranstaltninger. Datatilsynet kan til enhver tid anmode om at se fortegnelsen.

6.2 Fortegnelsen opbevares i mindst 5 år og er tilgængelig for [Dpo Navn] og [Sikkerhed Ansvarlig]. Fortegnelsen gennemgås periodisk med henblik på at identificere mønstre og gennemføre systematiske forbedringer.

7. Efteranalyse og forebyggelse

7.1 Inden for 30 dage efter et databrud gennemfører [Virksomhed Navn] en post-incident review: hvad gik galt, hvad fungerede godt, hvilke tekniske og organisatoriske forbedringer er nødvendige, og er lignende sårbarheder til stede andre steder i systemlandskabet? Resultater og handlingsplaner dokumenteres.

Ledelse

________________

Signature

Databeskyttelsesrådgiver (DPO) / GDPR-ansvarlig

________________

Signature

Vedligeholdt af Vladislav Sergienko, grundlægger·Skabelon sidst ændret: 2026-06-23·Rapportér en fejl

Hvad er Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden?

Databrud-beredskabsplanen i Danmark er et operationelt nøddokument, der fastlægger trin-for-trin procedurer for, hvad en virksomhed gør, når den opdager eller mistænker et brud på persondatasikkerheden. Dokumentet er det konkrete processuelt redskab til at opfylde anmeldelsespligten i databeskyttelsesforordningen (GDPR) art. 33 og underretningspligten i art. 34, suppleret af databeskyttelsesloven (lov nr. 502 af 23/05/2018).

GDPR art. 4, nr. 12, definerer et »brud på persondatasikkerheden« (databrud) som et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, lagret eller på anden måde behandlet. Definitionen er bred og dækker: hacking og cyberangreb (ransomware, phishing, data-exfiltration), mistede eller stjålne enheder med personoplysninger (laptops, USB-stik, telefoner), uautoriseret adgang af medarbejdere, fejlsendinger til forkerte modtagere, utilsigtede publiceringer af personoplysninger, og cloud-udbydernes nedetid med tab af data.

GDPR art. 33 fastlægger anmeldelsespligten: en dataansvarlig, der er opmærksom på et databrud, skal anmelde det til den kompetente tilsynsmyndighed — Datatilsynet i Danmark — uden unødig forsinkelse og om muligt senest 72 timer efter at have fået kendskab til det. Er anmeldelse ikke mulig inden 72 timer, angives årsagen til forsinkelsen. Anmeldelsen er ikke obligatorisk, hvis bruddet er usandsynligt at medføre risiko for fysiske personers rettigheder og frihedsrettigheder — men tærsklen for anmeldelsespligten er lav, og Datatilsynet anbefaler anmeldelse ved tvivl.

GDPR art. 34 fastlægger underretningspligten over for de berørte registrerede: hvis bruddet sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder, skal de underrettes direkte uden unødig forsinkelse. Datatilsynet fører aktivt tilsyn med overholdelsen af anmeldelses- og underretningspligten og kan pålægge bøder op til 10 mio. euro eller 2 % af global omsætning for overtrædelse, jf. GDPR art. 83, stk. 4.

Beredskabsplanens 72-timers-krav er et reelt operationelt pres. En virksomhed, der ikke har forbredt sig med klare procedurer og ansvarlige, risikerer at overskride fristen i forvirringen under en aktiv sikkerhedshændelse. En velforberedt databrud-beredskabsplan er derfor en af de mest praktisk vigtige GDPR-dokumenter, en virksomhed kan have.

Hvornår har du brug for Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden?

Databrud-beredskabsplanen i Danmark er nødvendig for enhver virksomhed, der behandler personoplysninger — dvs. næsten alle erhvervsdrivende.

Første situation er virksomheder, der behandler personoplysninger om kunder, medarbejdere eller samhandelspartnere. Enhver virksomhed, der behandler personnumre, navne, e-mailadresser, helbredsoplysninger, finansielle data eller andre personoplysninger, er underlagt GDPR's anmeldelsespligt ved databrud. En beredskabsplan er dokumentation for, at virksomheden er forberedt.

Anden situation er databehandlere, der behandler personoplysninger på vegne af andre. En databehandler (f.eks. en cloud-leverandør, et bureau eller en IT-servicevirksomhed) har pligt til straks at informere den dataansvarlige om databrud, jf. GDPR art. 33, stk. 2. Databehandleraftalen (GDPR art. 28) specificerer typisk fristen for underretning — ofte inden 24-48 timer. Databehandlere bør have en beredskabsplan for at kunne overholde disse kontraktuelle og lovmæssige forpligtelser.

Tredje situation er NIS2-underlagte virksomheder. NIS2-direktivet (direktiv 2022/2555) art. 23 kræver, at essentielle og vigtige enheder rapporterer alvorlige sikkerhedshændelser til Center for Cybersikkerhed (CFCS) inden 24 timer (indledende notifikation) og 72 timer (hændelsesnotifikation). Databrud-beredskabsplanen integrerer NIS2-rapporteringsforpligtelserne med GDPR-forpligtelserne.

Fjerde situation er virksomheder, der er ISO/IEC 27001-certificerede. ISO 27001 krav 6.1 og anneks A.16 kræver dokumenterede procedurer for hændelseshåndtering, herunder brud på persondatasikkerheden. Certificeringsauditor vil forvente at se en beredskabsplan.

Femte situation er virksomheder, der søger cyberansvarsforsikring. Forsikringsselskaber kræver i stigende grad dokumentation for databrud-beredskabsprocedurer som betingelse for at udstede cyberansvarsforsikring og for at udbetale erstatning ved et faktisk databrud. En beredskabsplan uden en faktisk hændelse er billig forsikring.

Sjette situation er virksomheder efter et faktisk databrud. Virksomheder, der har oplevet et databrud og efterfølgende modtaget en påtale fra Datatilsynet, udformer typisk en beredskabsplan som led i at dokumentere over for tilsynsmyndigheden, at de fremover er forberedt.

Syvende situation er virksomheder under Datatilsynets tilsyn eller revision. Datatilsynet gennemfører både anmeldte og uanmeldte tilsynsbesøg og kan anmode om at fremlægge databrud-beredskabsplanen og det interne brudregister. En veldokumenteret og periodisk testet beredskabsplan signalerer GDPR-modenhed og er et formildende element i Datatilsynets sanktionsafgørelse, når et databrud faktisk er sket.

Hvad skal Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden indeholde

En effektiv databrud-beredskabsplan til Danmark skal indeholde en række centrale elementer, der sikrer, at virksomheden kan overholde GDPR's 72-timers-krav og håndtere hændelsen professionelt.

Klar kontaktliste med ansvarlige er det praktisk vigtigste element. Beredskabsplanen skal identificere konkret: hvem er den interne databrudkoordinator (typisk DPO eller CISO), hvem er backup-ansvarlig, hvem er den juridiske rådgiver, og hvad er Datatilsynets kontaktoplysninger. Under en faktisk hændelse er det kritisk, at alle ved, hvem de skal kontakte — uden at skulle søge efter oplysningerne.

Definition af databrud og tærskel for anmeldelse er nødvendige. Beredskabsplanen bør inkludere Datatilsynets og EDPB's vejledning om, hvornår et brud er anmeldelsespligtigt: lav risiko (ingen anmeldelse), middel risiko (anmeldelse til Datatilsynet, ikke nødvendigvis underretning af registrerede), høj risiko (anmeldelse OG underretning af registrerede). Eksempler på typiske hændelser og deres klassificering hjælper medarbejderne med den indledende vurdering.

Trin-for-trin procedure med tidslinje er kernen i beredskabsplanen: Trin 1 (0-4 timer): opdagelse, indledende rapportering og afgrænsning. Trin 2 (0-24 timer): risikovurdering og beslutning om anmeldelse. Trin 3 (24-72 timer): udarbejdelse og indsendelse af anmeldelse til Datatilsynet. Trin 4 (ved høj risiko): direkte underretning af registrerede. Trin 5 (løbende): afhjælpende foranstaltninger, forebyggelse og dokumentation.

Anmeldelsens indhold er specificeret i GDPR art. 33, stk. 3. Beredskabsplanen bør indeholde en skabelon for anmeldelsen: beskrivelse af bruddets karakter, kategorierne og det omtrentlige antal berørte registrerede, kontaktoplysninger for DPO, de sandsynlige konsekvenser og de afhjælpende foranstaltninger.

Internt dokumentationsregister er lovpligtigt. GDPR art. 33, stk. 5, kræver, at alle databrud dokumenteres i et internt register, uanset om de er anmeldelsespligtige. Registret skal indeholde tilstrækkelige oplysninger til, at Datatilsynet kan verificere overholdelse. forms-legal.com tilbyder en gratis databrud-beredskabsplansskabelon til Danmark.

Integration med NIS2-rapportering for underlagte virksomheder er nødvendig. For NIS2-underlagte virksomheder integrerer beredskabsplanen de GDPR-baserede rapporteringsforpligtelser med NIS2 art. 23's krav om notifikation til CFCS inden 24 og 72 timer.

Efterfølgende analyse og forebyggelse er best practice. En post-incident review inden for 30 dage identificerer rodårsagen og gennemfører systematiske forbedringer, der reducerer risikoen for fremtidige databrud.

Sådan udfylder du Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden

Korrekt udfyldelse af databrud-beredskabsplanen kræver forberedelse inden en hændelse — ikke under den.

Trin 1 — identificér virksomheden og de ansvarlige: Udfyld virksomhedens navn og CVR-nummer. Udpeg en databeskyttelsesrådgiver (DPO) eller en GDPR-ansvarlig og en CISO/sikkerhedsansvarlig med klare kontaktoplysninger — navn, e-mail og direkte telefonnummer. Inkludér backup-kontakter. Notér Datatilsynets kontaktoplysninger ([email protected], tlf. 33 19 32 00).

Trin 2 — tilpas risikovurderingsskemaet: Tilpas risikovurderingsskemaet til virksomhedens databehandlingsaktiviteter. Identificér de typer af personoplysninger, der behandles (almindelige, følsomme, personnumre, finansielle), og beskriv de typiske hændelsesscenarier: ransomware, phishing, datatab, fejlsending, insidertrussel.

Trin 3 — fastlæg intern rapporteringsvej: Beskriv, hvad medarbejdere skal gøre, når de opdager eller mistænker et databrud. En simpel instruktion — »ring straks til CISO på [nummer] og send e-mail til DPO« — er mere effektiv end en kompleks procedure.

Trin 4 — forbered anmeldelsesskabelon: Forbered en skabelon for anmeldelsen til Datatilsynet baseret på GDPR art. 33, stk. 3's krav. Datatilsynet har et online anmeldelsesskema, som beredskabsplanen bør referere til. Øv processen med en tabletop-exercise (gennemspilning af en hypotetisk hændelse).

Trin 5 — fastlæg procedure for underretning af registrerede: Forbered skabeloner for direkte underretning af registrerede ved høj-risiko brud: e-mailskabelon, brevskabelon og kommunikationsplan. Beslut på forhånd, via hvilken kanal registrerede underrettes.

Trin 6 — opsæt det interne dokumentationsregister: Opret et brudregister i et tilgængeligt system (Excel-sheet, GDPR-software) med felterne krævet af GDPR art. 33, stk. 5. Alle hændelser — uanset om de er anmeldelsespligtige — dokumenteres.

Trin 7 — test beredskabsplanen: Gennemfør en annual tabletop-exercise, hvor relevante medarbejdere spiller igennem en hypotetisk databrudshændelse. Identificér svagheder i proceduren og opdatér beredskabsplanen efterfølgende.

Trin 8 — kommunikér til medarbejdere: Informér alle medarbejdere om eksistensen og den grundlæggende procedure for at rapportere mistanke om databrud. En sticker med CISO's og DPO's telefonnummer på alle computere er en simpel men effektiv foranstaltning.

Juridiske krav til Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden

Databrud-beredskabsplanen i Danmark er underlagt præcise retlige forpligtelser i GDPR og NIS2, der specificerer hvornår og hvad der skal rapporteres, og hvem der er ansvarlig.

GDPR art. 33 — anmeldelse til Datatilsynet: Den dataansvarlige anmelder databruddet til Datatilsynet senest 72 timer efter at have fået kendskab til det, medmindre det er usandsynligt, at bruddet vil indebære en risiko for fysiske personers rettigheder og frihedsrettigheder. Anmeldelsens obligatoriske indhold (art. 33, stk. 3): (a) beskrivelse af bruddets karakter og om muligt kategorierne og det omtrentlige antal berørte registrerede og poster, (b) DPO's navn og kontaktoplysninger, (c) de sandsynlige konsekvenser af bruddet, (d) de foranstaltninger, der er eller foreslås truffet for at håndtere bruddet, herunder tiltag for at afbøde dets eventuelle negative virkninger. Etapevis anmeldelse er tilladt (art. 33, stk. 4): ikke alle oplysninger behøver at foreligge i den indledende anmeldelse. Dokumentationspligten (art. 33, stk. 5): alle brud — anmeldelsespligtige eller ej — skal dokumenteres i et internt register.

GDPR art. 34 — underretning af registrerede: Direkte, individuel underretning af de berørte registrerede er påkrævet, hvis bruddet sandsynligvis vil indebære en høj risiko for deres rettigheder og frihedsrettigheder. Underretningen skal ske uden unødig forsinkelse og indeholde klar information om bruddet, konsekvenser og afhjælpende foranstaltninger. Undtagelserne i art. 34, stk. 3: (a) kryptering af de berørte data (med ikke-kompromitteret nøgle), (b) efterfølgende foranstaltninger eliminerer den høje risiko, eller (c) uforholdsmæssige bestræbelser (offentlig meddelelse som erstatning). Datatilsynet kan kræve, at den dataansvarlige underretter de registrerede, jf. art. 34, stk. 4.

GDPR art. 28 — databehandlerforpligtelser: Databehandleraftalen skal kræve, at databehandleren straks underretter den dataansvarlige om konstaterede databrud (art. 28, stk. 3, litra f). Mange DPA'er fastlægger en 24-timers-frist fra databehandlerens konstatering til den dataansvarliges modtagelse af notifikation.

NIS2-direktivet (direktiv 2022/2555) art. 23 — cyberhændelsesrapportering: For NIS2-underlagte essentielle og vigtige enheder gælder kortere frister: indledende notifikation til CFCS inden 24 timer fra konstatering; hændelsesnotifikation inden 72 timer med foreløbig vurdering; endelig rapport inden 1 måned. Bruddet er »alvorligt« ved en betydelig forstyrrelsesvirkning på leveringen af tjenester. CFCS kontaktes via [email protected].

Databeskyttelsesloven (lov nr. 502 af 23/05/2018) §§ 4-5: Datatilsynets beføjelser til at undersøge, udstede påbud og sanktionere manglende overholdelse af GDPR. Bøder for overtrædelse af anmeldelses- og dokumentationspligten (art. 33-34): op til 10 mio. euro eller 2 % af global omsætning (GDPR art. 83, stk. 4). For alvorligere overtrædelser (behandling uden retsgrundlag): op til 20 mio. euro eller 4 % (art. 83, stk. 5). Datatilsynet offentliggør navngivne afgørelser, der skaber dokumenteret tilsynspraksis for det acceptable reaktionsmønster.

EDPB vejledning 01/2021 (om databrud): Den Europæiske Databeskyttelsesbestyrelse (EDPB) har udgivet en vejledning med konkrete eksempler på, hvornår et databrud er anmeldelsespligtigt, og hvad en tilstrækkelig anmeldelse indeholder. Vejledningen er den praktiske manual for compliance-ansvarlige og DPO'er i Danmark.

Almindelige fejl i Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden

Hyppige fejl i håndteringen af databrud i Danmark resulterer i overskridelse af 72-timers-fristen, mangelfulde anmeldelser og bøder fra Datatilsynet.

Fejl 1 — ingen forberedt beredskabsplan: Den hyppigste fejl er at håndtere et databrud ad hoc under selve hændelsen, uden forberedte procedurer og ansvarlige. Resultatet er forvirring, forsinkelse og overskridelse af 72-timers-fristen. Datatilsynet tager til efterretning, om virksomheden havde en forberedt beredskabsplan — det er et formildende omstændighed ved sanktionsafgørelse.

Fejl 2 — for sen opdagelse af bruddet: 72-timers-fristen løber fra det tidspunkt, den dataansvarlige er »opmærksom på« bruddet — ikke fra det tidspunkt, bruddet faktisk skete. Mange virksomheder opdager databrud meget sent, fordi de mangler logning, monitorering og alarmeringsmekanismer. Tekniske detektionskontroller (SIEM, IDS/IPS, log-analyse) er afgørende for tidlig opdagelse.

Fejl 3 — undervurdering af risikoen: Mange virksomheder vurderer fejlagtigt, at et brud ikke er anmeldelsespligtigt, fordi de undervurderer risikoen for de berørte registrerede. EDPB vejledning 01/2021 og Datatilsynets vejledning anbefaler en lav anmeldelsestærskel — ved tvivl anmeldes. Datatilsynet ser positivt på proaktiv anmeldelse.

Fejl 4 — mangelfuld dokumentation: Mange virksomheder anmelder et databrud, men dokumenterer ikke hændelsen tilstrækkeligt i det interne brudregister (GDPR art. 33, stk. 5). Manglende dokumentation er i sig selv en overtrædelse og svækker virksomhedens evne til at lære af hændelsen og styrke fremtidig forebyggelse.

Fejl 5 — for sen underretning af registrerede ved høj-risiko brud: Virksomheder, der konkluderer, at registrerede er i høj risiko, men udsætter underretning af logistiske eller omdømmemæssige årsager, overtræder GDPR art. 34. En direkte, ærlig og rettidig kommunikation til de berørte er lovpligtig og typisk bedre for virksomhedens omdømme end forsinket kommunikation, der later som om, problemet ikke er alvorligt.

Fejl 6 — manglende DPA med databehandlere: Virksomheder, der opdager et databrud hos en cloud-leverandør eller IT-servicevirksomhed, som behandler personoplysninger på deres vegne, risikerer at overskride 72-timers-fristen, fordi der ikke er kontraktmæssige krav om hurtig underretning fra databehandleren. GDPR art. 28 DPA'er med korte notifikationsfrister (24-48 timer) er en forudsætning for rettidig anmeldelse.

Citér denne side

Henvis til denne gratis skabelon i en artikel, et pensum eller en forskningsnote:

APA

Forms Legal. (2026). Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden (Danmark) [Legal document template]. Forms Legal. https://forms-legal.com/da/danmark/business/policies/databrud-beredskabsplan

MLA

"Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden (Danmark)." Forms Legal, 2026, https://forms-legal.com/da/danmark/business/policies/databrud-beredskabsplan.

BibTeX

@misc{formslegal-databrud-beredskabsplan,
  author       = {{Forms Legal}},
  title        = {Databrud-beredskabsplan — procedure for håndtering af brud på persondatasikkerheden (Danmark)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/da/danmark/business/policies/databrud-beredskabsplan}},
  note         = {Free legal document template}
}

Ofte stillede spørgsmål

Skabelon med lovhenvisninger — Skabelon senest ændret juni 2026

Denne skabelon stilles kun til rådighed til informationsformål og udgør ikke juridisk rådgivning. Love varierer fra jurisdiktion til jurisdiktion og ændrer sig over tid. Kontakt en kvalificeret advokat for rådgivning, der er specifik for din situation.Fuld ansvarsfraskrivelse

Fandt du en fejl? Sig til