Databeskyttelse

Anmeldelse af brud på persondatasikkerheden (art. 33-34 GDPR): 72 timer i 2026

Anmeldelse af brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter art. 33-34 GDPR: hvornår, hvordan og hvornår de registrerede skal underrettes.

Also available in:English·Français·Deutsch·Español

Et brud på persondatasikkerheden skal anmeldes til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter, at den dataansvarlige er blevet bekendt med bruddet. Pligten følger af artikel 33 i databeskyttelsesforordningen (GDPR). Er der en høj risiko for de registreredes rettigheder, skal de også underrettes direkte efter artikel 34. Et brud er ikke kun et hackerangreb: det omfatter enhver hændelse, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger — herunder en fejlsendt e-mail, en mistet USB-nøgle eller en fejlkonfigureret database.

Denne guide gennemgår, hvornår 72-timersfristen løber, hvad anmeldelsen skal indeholde, hvornår de registrerede skal underrettes, og hvad du skal dokumentere. For en operationel køreplan, se vores procedure for håndtering af brud med brudlog.

Hvornår løber 72-timersfristen?

Fristen løber fra det tidspunkt, hvor den dataansvarlige bliver bekendt med bruddet — ikke fra selve hændelsen. Man anses for at være bekendt, når man med rimelig sikkerhed har konstateret, at der er sket et sikkerhedsbrud, der involverer personoplysninger. En kort indledende undersøgelse for at afklare, om der faktisk er tale om et brud, er tilladt, men den må ikke bruges til at udskyde anmeldelsen unødigt.

Vigtige pointer om fristen:

  • 72 timer er kalendertimer, ikke arbejdstimer — weekender og helligdage tæller med.
  • Overskrider du fristen, skal anmeldelsen ledsages af en begrundelse for forsinkelsen (art. 33, stk. 1).
  • Du kan foretage en etapevis anmeldelse (art. 33, stk. 4): anmeld inden fristen med de oplysninger, du har, og suppler efterfølgende.

Er databehandleren den, der opdager bruddet, skal denne underrette den dataansvarlige uden unødig forsinkelse (art. 33, stk. 2). Det er derfor, databehandleraftalen bør fastsætte en konkret intern frist — fx 24 eller 48 timer — så du som dataansvarlig kan nå din egen 72-timersfrist.

Hvornår skal du anmelde — og hvornår ikke?

Du skal anmelde, medmindre bruddet sandsynligvis ikke vil indebære en risiko for de registreredes rettigheder. Risikovurderingen er central. Er de berørte oplysninger fx stærkt krypteret med en nøgle, der ikke er kompromitteret, kan risikoen være så lav, at anmeldelse ikke er nødvendig. Men bevisbyrden ligger hos dig: du skal kunne dokumentere din vurdering, uanset om du anmelder eller ej.

I praksis anbefaler Datatilsynet, at man ved tvivl anmelder. Vurderer du forkert og undlader at anmelde et brud, der burde have været anmeldt, er det et selvstændigt brud på artikel 33. Region Syddanmark blev idømt en bøde på 500.000 kr. ved Vestre Landsret den 23. marts 2026 i en sag, der udsprang af, at uvedkommende kunne tilgå personoplysninger ved en simpel ændring af en URL — en klassisk sikkerhedsbrist, der udløser både anmeldelses- og underretningspligt.

Hvad skal anmeldelsen indeholde?

Efter artikel 33, stk. 3, skal anmeldelsen til Datatilsynet mindst:

  1. Beskrive karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og berørte registreringer.
  2. Angive navn og kontaktoplysningerdatabeskyttelsesrådgiveren eller et andet kontaktpunkt.
  3. Beskrive de sandsynlige konsekvenser af bruddet.
  4. Beskrive de iværksatte eller foreslåede foranstaltninger for at håndtere bruddet og begrænse skadevirkningerne.

Anmeldelsen sker via Datatilsynets digitale anmeldelsesløsning. Selv om en oplysning mangler ved fristens udløb, skal du anmelde til tiden og supplere senere.

Hvornår skal de registrerede underrettes (art. 34)?

Underretning af de registrerede efter artikel 34 er kun påkrævet, når bruddet sandsynligvis vil indebære en høj risiko for deres rettigheder. Underretningen skal ske uden unødig forsinkelse og i et klart og enkelt sprog, og den skal indeholde de samme oplysninger som punkt 2-4 ovenfor.

Der er tre undtagelser (art. 34, stk. 3), hvor direkte underretning ikke er nødvendig:

  • oplysningerne var beskyttet (fx krypteret), så de er uforståelige for uvedkommende,
  • du har efterfølgende truffet foranstaltninger, der gør, at den høje risiko ikke længere er sandsynlig, eller
  • direkte underretning ville kræve en uforholdsmæssig indsats — så kan der i stedet ske en offentlig meddelelse.

Dokumentation og brudlog

Artikel 33, stk. 5, kræver, at du dokumenterer alle brud — også dem, du vurderer ikke skal anmeldes. Dokumentationen skal omfatte de faktiske omstændigheder, virkningerne og de trufne afhjælpende foranstaltninger. Det gør du i en brudlog, som Datatilsynet kan bede om at se. En manglende eller mangelfuld brudlog er i sig selv et brud på ansvarlighedsprincippet.

En platform som Legiscope kan strukturere brudloggen, styre 72-timersfristen og samle dokumentationen for hver hændelse, så du både kan anmelde korrekt og bevise dine vurderinger bagefter.

De tre typer brud og databehandlerens rolle

Et brud kan ramme en eller flere af tre grundlæggende sikkerhedsegenskaber, og typen har betydning for risikovurderingen:

  • Brud på fortroligheden — uvedkommende får adgang til oplysninger (fejlsendt e-mail, hackerangreb, tabt enhed, fejlkonfigureret database).
  • Brud på integriteten — oplysninger ændres utilsigtet eller uautoriseret, så de bliver forkerte.
  • Brud på tilgængeligheden — oplysninger går tabt eller bliver utilgængelige (ransomware, sletning ved fejl, nedbrud uden brugbar backup).

Samme hændelse kan ramme flere egenskaber på én gang: et ransomwareangreb kan både kryptere data (tilgængelighed) og kopiere dem (fortrolighed). Et tab af tilgængelighed er også et brud — selv hvis ingen uvedkommende har set oplysningerne. Kan du fx ikke gendanne journaler efter et nedbrud, kan det have alvorlige konsekvenser for de registrerede og udløse både anmeldelse og underretning.

Databehandleren spiller en central rolle. Efter artikel 33, stk. 2, skal databehandleren underrette den dataansvarlige uden unødig forsinkelse, når databehandleren bliver bekendt med et brud. Databehandleren anmelder ikke selv til Datatilsynet — det gør den dataansvarlige. Derfor er det afgørende, at din databehandleraftale fastsætter en konkret intern frist (fx 24 eller 48 timer) og en pligt til at give dig de oplysninger, du skal bruge til din egen anmeldelse. Bruger du mange underdatabehandlere, kan kæden af underretninger blive lang — så jo kortere fristerne er aftalt, jo bedre kan du overholde de 72 timer. Kortlæg via din fortegnelse over behandlingsaktiviteter, hvilke leverandører der behandler hvilke oplysninger, så du ved bruddet ved, hvem der skal kontaktes.

Ofte stillede spørgsmål

Tæller weekender og helligdage med i 72-timersfristen?

Ja. Fristen er 72 kalendertimer regnet fra det tidspunkt, du bliver bekendt med bruddet, og weekender og helligdage tæller med. Derfor bør din procedure for håndtering af brud fungere uden for normal arbejdstid, og databehandleraftalerne bør pålægge leverandørerne en kort intern underretningsfrist.

Skal jeg anmelde et brud, hvis oplysningerne var krypteret?

Ikke nødvendigvis. Er oplysningerne beskyttet med stærk kryptering, og er nøglen ikke kompromitteret, kan risikoen være så lav, at anmeldelse ikke er påkrævet. Men du skal dokumentere vurderingen i din brudlog. Ved tvivl anbefaler Datatilsynet at anmelde.

Hvad er forskellen på artikel 33 og artikel 34?

Artikel 33 handler om anmeldelse til Datatilsynet inden for 72 timer og gælder, medmindre bruddet sandsynligvis ikke indebærer en risiko. Artikel 34 handler om direkte underretning af de berørte registrerede og gælder kun, når bruddet sandsynligvis indebærer en høj risiko for dem. Et brud kan altså udløse anmeldelse til tilsynet uden at udløse underretning af de registrerede.

Er et ransomwareangreb altid et brud, der skal anmeldes?

Som udgangspunkt ja. Et ransomwareangreb rammer tilgængeligheden (data er låst) og indebærer ofte også et brud på fortroligheden, hvis angriberen har kopieret data. Selv hvis du kan gendanne fra backup, skal du vurdere, om oplysninger er blevet eksfiltreret. Ved tvivl anbefaler Datatilsynet at anmelde inden for 72 timer og supplere, når efterforskningen er afsluttet.

Konklusion

Ved et brud på persondatasikkerheden løber en 72-timersfrist til at anmelde til Datatilsynet, medmindre bruddet sandsynligvis ikke indebærer en risiko. Ved høj risiko skal de registrerede også underrettes efter artikel 34. Alt skal dokumenteres i en brudlog — også de brud, du ikke anmelder. Byg en fast procedure for håndtering af brud, sørg for korte underretningsfrister i dine databehandleraftaler, og lad DPO’en være kontaktpunkt. Sagen mod Region Syddanmark viser, at en simpel sikkerhedsbrist hurtigt bliver til en bøde.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →