En procedure for håndtering af brud på persondatasikkerheden er den skriftlige køreplan, der sikrer, at din organisation kan opdage, vurdere, anmelde og dokumentere et brud inden for 72-timersfristen i artikel 33 i GDPR. Uden en fast procedure går der for lang tid, før de rette personer inddrages, og fristen overskrides. Ved siden af proceduren skal du føre en brudlog — en fortegnelse over alle brud, også dem du vurderer ikke skal anmeldes. Brudloggen er lovpligtig efter artikel 33, stk. 5, og Datatilsynet kan bede om at se den.
Denne guide giver dig en køreplan i fem trin, en skabelon til brudloggen, vejledning i tilpasning og de typiske fejl. For det juridiske grundlag, se vores guide til anmeldelse af brud (art. 33-34).
Procedure: køreplan i 5 trin
Trin 1 — Opdag og meld internt. Enhver medarbejder, der opdager et muligt brud (mistet enhed, fejlsendt e-mail, mistanke om hackerangreb, uautoriseret adgang), melder det straks til [kontaktpunktet: DPO/it-sikkerhed] på [e-mail/telefon]. Der er intern meldepligt uanset tidspunkt på døgnet.
Trin 2 — Vurdér og inddæm (dag 0). Kontaktpunktet igangsætter en indledende undersøgelse: Er der tale om personoplysninger? Hvilke og hvor mange registrerede? Inddæm bruddet (luk adgang, tilbagekald e-mail, isolér system). Notér tidspunktet, hvor organisationen blev “bekendt” med bruddet — 72-timersfristen løber herfra.
Trin 3 — Risikovurdér. Vurdér risikoen for de registreredes rettigheder: karakter af oplysninger (er der følsomme oplysninger?), omfang, mulige konsekvenser (identitetstyveri, økonomisk skade, diskrimination). Resultatet afgør: (a) ingen anmeldelse (lav risiko — men dokumentér), (b) anmeldelse til Datatilsynet (risiko), © anmeldelse + underretning af de registrerede (høj risiko).
Trin 4 — Anmeld og underret. Ved anmeldelsespligt: anmeld til Datatilsynet via den digitale løsning inden for 72 timer med oplysningerne i artikel 33, stk. 3. Ved høj risiko: underret de berørte registrerede uden unødig forsinkelse i et klart sprog. Ved manglende oplysninger: anmeld til tiden og suppler senere (etapevis anmeldelse).
Trin 5 — Dokumentér og følg op. Registrér hændelsen i brudloggen. Gennemfør afhjælpende foranstaltninger, og evaluér, om proceduren, systemerne eller databehandleraftalerne skal justeres for at forhindre gentagelse.
Skabelon til brudlog
Før brudloggen som et regneark med én række pr. hændelse og følgende kolonner:
Kolonne Indhold Sagsnr. Løbenummer Dato/tid for opdagelse Hvornår organisationen blev bekendt (fristens start) Beskrivelse Hvad skete der, og hvordan Type brud Fortrolighed / integritet / tilgængelighed Kategorier af oplysninger Herunder om der er følsomme oplysninger Antal registrerede Omtrentligt antal berørte Årsag Menneskelig fejl, teknisk fejl, angreb, databehandler Risikovurdering Lav / risiko / høj risiko + begrundelse Anmeldt til Datatilsynet Ja/nej + dato + journalnr. Underrettet registrerede Ja/nej + dato + metode Afhjælpende foranstaltninger Hvad blev gjort Status Åben / lukket
Eksempel på en logpost
Sag 2026-014 · Opdaget 12/03 kl. 09:20 · Fejlsendt e-mail med lønseddel til forkert modtager · Type: fortrolighed · Oplysninger: navn, CPR, løn · 1 registreret · Årsag: menneskelig fejl · Risiko: risiko (CPR-nummer) · Anmeldt: ja, 12/03, j.nr. [x] · Underrettet: ja, 12/03, e-mail · Foranstaltning: modtager bedt om at slette, medarbejder instrueret · Status: lukket.
Sådan tilpasser du proceduren
Udpeg et konkret kontaktpunkt og en stedfortræder. Bruddet skal kunne meldes ét sted, døgnet rundt. Er der en databeskyttelsesrådgiver, er vedkommende det naturlige kontaktpunkt.
Byg fristen ind i databehandleraftalerne. Opdager en databehandler bruddet, skal denne underrette dig hurtigt nok til, at du kan nå din 72-timersfrist. Fastsæt 24 eller 48 timer i databehandleraftalen.
Træn medarbejderne. De fleste brud opdages af almindelige medarbejdere. De skal vide, hvad et brud er, og hvor de melder det. En kort, årlig instruktion er ofte det mest effektive tiltag.
Test proceduren. Kør en øvelse (fx en fingeret fejlsendt e-mail), og mål, hvor lang tid der går, før bruddet er meldt, vurderet og eventuelt anmeldt.
Typiske fejl
- Kun alvorlige brud logges. Artikel 33, stk. 5, kræver, at alle brud dokumenteres — også dem, der ikke anmeldes. En tom brudlog ved et tilsyn er et rødt flag.
- Fristen misforstås. 72 timer er kalendertimer fra opdagelsen, ikke arbejdstimer. Weekender tæller med.
- Ingen dokumentation for “ikke anmeldt”. Vurderer du, at et brud ikke skal anmeldes, skal begrundelsen fremgå af loggen — ellers kan du ikke løfte bevisbyrden.
- Databehandlere har ingen frist. Uden en aftalt intern frist får du beskeden for sent til at nå din egen frist.
- Ingen opfølgning. Uden trin 5 gentager de samme brud sig. Region Syddanmark blev idømt 500.000 kr. ved Vestre Landsret i marts 2026 efter en sikkerhedsbrist — netop den slags, der kan afdækkes og lukkes ved systematisk opfølgning.
En platform som Legiscope kan strukturere brudloggen, styre 72-timersfristen og samle dokumentationen for hver hændelse, så du både anmelder til tiden og kan bevise dine vurderinger bagefter.
Roller og ansvar i beredskabet
En procedure fungerer kun, hvis det er klart, hvem der gør hvad. Fastlæg mindst følgende roller på forhånd:
- Kontaktpunkt/beredskabsansvarlig (typisk DPO eller it-sikkerhedsansvarlig) — modtager meldingen, koordinerer og træffer beslutning om anmeldelse. Udpeg også en stedfortræder, så beredskabet ikke falder, når én person er fraværende.
- IT/teknik — inddæmmer bruddet teknisk (lukker adgange, isolerer systemer, gendanner fra backup) og leverer de tekniske fakta til risikovurderingen.
- Ledelsen — inddrages ved brud med høj risiko og træffer beslutning om ekstern kommunikation.
- Kommunikation/kundeservice — håndterer underretning af de registrerede og eksterne henvendelser i et ensartet sprog.
- Databehandlere — underretter kontaktpunktet inden for den frist, der er aftalt i databehandleraftalen.
Skriv rollerne og kontaktoplysningerne ind i selve proceduren, så ingen skal lede efter dem, mens uret tikker. Et brud opdaget fredag aften må ikke vente til mandag — 72-timersfristen løber uanset.
Sådan hænger loggen sammen med din øvrige dokumentation
Brudloggen står ikke alene. Den bør henvise til de behandlinger i din fortegnelse over behandlingsaktiviteter, bruddet vedrører, og til de databehandlere, der eventuelt er involveret. Gentagne brud af samme type er et signal om, at en foranstaltning svigter — måske skal et system ændres efter databeskyttelse gennem design, eller en procedure strammes. Brug loggen aktivt som et styringsredskab, ikke blot som et lovkrav.
Test og evaluering af beredskabet
En procedure, der aldrig er afprøvet, svigter typisk under pres. Test derfor beredskabet mindst årligt med en enkel øvelse — fx en fingeret fejlsendt e-mail eller et simuleret hackerangreb — og mål, hvor lang tid der går, før bruddet er meldt internt, vurderet og eventuelt anmeldt. Øvelsen afslører hurtigt, om kontaktpunktet er kendt, om medarbejderne ved, hvad de skal gøre, og om databehandlernes underretning fungerer.
Efter hvert reelt brud bør du gennemføre en kort evaluering: kunne bruddet være undgået, og bør en foranstaltning, et system eller en databehandleraftale justeres? Pligterne følger af artikel 33-34 i databeskyttelsesforordningen, og Datatilsynet har udgivet en vejledning om håndtering af brud på persondatasikkerheden, som er et nyttigt grundlag for at bygge din procedure.
Ofte stillede spørgsmål
Skal jeg logge brud, som jeg ikke anmelder til Datatilsynet?
Ja. Artikel 33, stk. 5, kræver, at du dokumenterer alle brud på persondatasikkerheden — også dem, du vurderer ikke skal anmeldes. Dokumentationen skal omfatte de faktiske omstændigheder, virkningerne og de afhjælpende foranstaltninger, og Datatilsynet kan bede om at se brudloggen.
Hvornår “opdager” jeg et brud i lovens forstand?
Du anses for at være bekendt med bruddet, når du med rimelig sikkerhed har konstateret, at der er sket et sikkerhedsbrud, der involverer personoplysninger. En kort indledende undersøgelse er tilladt, men 72-timersfristen løber fra det tidspunkt, du med rimelighed burde have konstateret bruddet.
Hvad skal en brudlog som minimum indeholde?
Som minimum: en beskrivelse af bruddet, dets virkninger og de trufne afhjælpende foranstaltninger (art. 33, stk. 5). I praksis bør loggen også indeholde tidspunkt for opdagelse, kategorier og antal berørte, risikovurderingen og om der er anmeldt og underrettet — så den kan dokumentere hele forløbet.
Konklusion
En procedure for håndtering af brud og en brudlog er de to redskaber, der gør, at du kan reagere korrekt inden for 72 timer og dokumentere det bagefter. Følg køreplanen i fem trin, før brudloggen over alle brud, byg korte underretningsfrister ind i dine databehandleraftaler, og træn medarbejderne. Læs det juridiske grundlag i vores guide til anmeldelse af brud (art. 33-34), og lad DPO’en være kontaktpunkt.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial