Hvor hurtigt skal en virksomhed indberette brud på datasikkerheden til Datatilsynet ifølge Persondataforordningen?

72 Timer – Den Afgørende Frist for Indberetning af Databrud

Et databrud kan have katastrofale konsekvenser for en virksomhed, både økonomisk og omdømmemæssigt. Men hvor hurtigt skal virksomheder reagere, når uheldet er ude? Persondataforordningen (GDPR) sætter en klar tidsfrist: inden for 72 timer efter at virksomheden har fået kendskab til bruddet. Denne frist er ikke en anbefaling, men et lovkrav, der skal overholdes.

Denne 72-timers frist starter ikke fra det øjeblik, hvor selve bruddet finder sted, men fra det øjeblik, virksomheden bliver bevidst om, at et brud har fundet sted. Dette betyder, at en effektiv overvågning og hurtig detektering af potentielle brud er afgørende for at kunne overholde fristen. En forsinket opdagelse forkorter den tilgængelige tid til at udføre den nødvendige indberetningsproces.

Hvad sker der, hvis fristen ikke overholdes?

Overtrædelse af denne frist kan medføre betydelige sanktioner fra Datatilsynet. Sanktionerne vil afhænge af bruddets alvorlighed, virksomhedens størrelse og dens samarbejdsvilje med Datatilsynet. Sanktionerne kan omfatte både bøder og offentlig kritik, der kan skade virksomhedens omdømme betydeligt.

Undtagelser fra 72-timers reglen?

Selvom 72-timers fristen er fastsat, findes der situationer, hvor det kan være vanskeligt at indberette inden for denne tidsramme. Det er dog vigtigt at understrege, at enhver undtagelse kræver en grundig begrundelse. Virksomheden skal kunne dokumentere, hvorfor fristen ikke kunne overholdes. Dette er ikke en undskyldning for at forsømme indberetningen, men en mulighed for at forklare ekstreme og uforudsete omstændigheder. Eksempler på sådanne situationer kan være et massivt og komplekst brud, der kræver omfattende analyse for at fastslå omfanget og konsekvenserne, eller en situation med alvorlig IT-infrastruktur nedetid. I sådanne tilfælde skal Datatilsynet underrettes så hurtigt som muligt og en klar plan for afhjælpning og indberetning skal udarbejdes.

Forberedelse er nøglen:

For at være forberedt på et eventuelt databrud, er det essentielt at have en klar og veludviklet plan for incident respons. Denne plan skal omfatte procedurer for hurtig opdagelse, analyse af bruddets omfang, og en klar kommunikationsplan til Datatilsynet og berørte personer. En sådan plan er ikke blot en god praksis, men en nødvendighed for at kunne overholde lovgivningen og minimere skaderne ved et databrud.

At overholde 72-timers fristen ved indberetning af et databrud er afgørende. Proaktivt arbejde med datasikkerhed og en effektiv incident response plan er derfor af allerstørste betydning for alle virksomheder, der behandler persondata.