Databeskyttelse

Procedure for håndtering af brud + brudlog 2026: skabelon til GDPR

Skabelon til procedure for håndtering af brud på persondatasikkerheden og brudlog efter art. 33-34 GDPR: køreplan i 5 trin, template til brudloggen og typiske fejl.

Also available in:English·Français·Deutsch

En procedure for håndtering af brud på persondatasikkerheden er den skriftlige køreplan, der sikrer, at din organisation kan opdage, vurdere, anmelde og dokumentere et brud inden for 72-timersfristen i artikel 33 i GDPR. Uden en fast procedure går der for lang tid, før de rette personer inddrages, og fristen overskrides. Ved siden af proceduren skal du føre en brudlog — en fortegnelse over alle brud, også dem du vurderer ikke skal anmeldes. Brudloggen er lovpligtig efter artikel 33, stk. 5, og Datatilsynet kan bede om at se den.

Denne guide giver dig en køreplan i fem trin, en skabelon til brudloggen, vejledning i tilpasning og de typiske fejl. For det juridiske grundlag, se vores guide til anmeldelse af brud (art. 33-34).

Procedure: køreplan i 5 trin

Trin 1 — Opdag og meld internt. Enhver medarbejder, der opdager et muligt brud (mistet enhed, fejlsendt e-mail, mistanke om hackerangreb, uautoriseret adgang), melder det straks til [kontaktpunktet: DPO/it-sikkerhed] på [e-mail/telefon]. Der er intern meldepligt uanset tidspunkt på døgnet.

Trin 2 — Vurdér og inddæm (dag 0). Kontaktpunktet igangsætter en indledende undersøgelse: Er der tale om personoplysninger? Hvilke og hvor mange registrerede? Inddæm bruddet (luk adgang, tilbagekald e-mail, isolér system). Notér tidspunktet, hvor organisationen blev “bekendt” med bruddet — 72-timersfristen løber herfra.

Trin 3 — Risikovurdér. Vurdér risikoen for de registreredes rettigheder: karakter af oplysninger (er der følsomme oplysninger?), omfang, mulige konsekvenser (identitetstyveri, økonomisk skade, diskrimination). Resultatet afgør: (a) ingen anmeldelse (lav risiko — men dokumentér), (b) anmeldelse til Datatilsynet (risiko), © anmeldelse + underretning af de registrerede (høj risiko).

Trin 4 — Anmeld og underret. Ved anmeldelsespligt: anmeld til Datatilsynet via den digitale løsning inden for 72 timer med oplysningerne i artikel 33, stk. 3. Ved høj risiko: underret de berørte registrerede uden unødig forsinkelse i et klart sprog. Ved manglende oplysninger: anmeld til tiden og suppler senere (etapevis anmeldelse).

Trin 5 — Dokumentér og følg op. Registrér hændelsen i brudloggen. Gennemfør afhjælpende foranstaltninger, og evaluér, om proceduren, systemerne eller databehandleraftalerne skal justeres for at forhindre gentagelse.

Skabelon til brudlog

Før brudloggen som et regneark med én række pr. hændelse og følgende kolonner:

Kolonne Indhold
Sagsnr. Løbenummer
Dato/tid for opdagelse Hvornår organisationen blev bekendt (fristens start)
Beskrivelse Hvad skete der, og hvordan
Type brud Fortrolighed / integritet / tilgængelighed
Kategorier af oplysninger Herunder om der er følsomme oplysninger
Antal registrerede Omtrentligt antal berørte
Årsag Menneskelig fejl, teknisk fejl, angreb, databehandler
Risikovurdering Lav / risiko / høj risiko + begrundelse
Anmeldt til Datatilsynet Ja/nej + dato + journalnr.
Underrettet registrerede Ja/nej + dato + metode
Afhjælpende foranstaltninger Hvad blev gjort
Status Åben / lukket

Eksempel på en logpost

Sag 2026-014 · Opdaget 12/03 kl. 09:20 · Fejlsendt e-mail med lønseddel til forkert modtager · Type: fortrolighed · Oplysninger: navn, CPR, løn · 1 registreret · Årsag: menneskelig fejl · Risiko: risiko (CPR-nummer) · Anmeldt: ja, 12/03, j.nr. [x] · Underrettet: ja, 12/03, e-mail · Foranstaltning: modtager bedt om at slette, medarbejder instrueret · Status: lukket.

Sådan tilpasser du proceduren

Udpeg et konkret kontaktpunkt og en stedfortræder. Bruddet skal kunne meldes ét sted, døgnet rundt. Er der en databeskyttelsesrådgiver, er vedkommende det naturlige kontaktpunkt.

Byg fristen ind i databehandleraftalerne. Opdager en databehandler bruddet, skal denne underrette dig hurtigt nok til, at du kan nå din 72-timersfrist. Fastsæt 24 eller 48 timer i databehandleraftalen.

Træn medarbejderne. De fleste brud opdages af almindelige medarbejdere. De skal vide, hvad et brud er, og hvor de melder det. En kort, årlig instruktion er ofte det mest effektive tiltag.

Test proceduren. Kør en øvelse (fx en fingeret fejlsendt e-mail), og mål, hvor lang tid der går, før bruddet er meldt, vurderet og eventuelt anmeldt.

Typiske fejl

  • Kun alvorlige brud logges. Artikel 33, stk. 5, kræver, at alle brud dokumenteres — også dem, der ikke anmeldes. En tom brudlog ved et tilsyn er et rødt flag.
  • Fristen misforstås. 72 timer er kalendertimer fra opdagelsen, ikke arbejdstimer. Weekender tæller med.
  • Ingen dokumentation for “ikke anmeldt”. Vurderer du, at et brud ikke skal anmeldes, skal begrundelsen fremgå af loggen — ellers kan du ikke løfte bevisbyrden.
  • Databehandlere har ingen frist. Uden en aftalt intern frist får du beskeden for sent til at nå din egen frist.
  • Ingen opfølgning. Uden trin 5 gentager de samme brud sig. Region Syddanmark blev idømt 500.000 kr. ved Vestre Landsret i marts 2026 efter en sikkerhedsbrist — netop den slags, der kan afdækkes og lukkes ved systematisk opfølgning.

En platform som Legiscope kan strukturere brudloggen, styre 72-timersfristen og samle dokumentationen for hver hændelse, så du både anmelder til tiden og kan bevise dine vurderinger bagefter.

Roller og ansvar i beredskabet

En procedure fungerer kun, hvis det er klart, hvem der gør hvad. Fastlæg mindst følgende roller på forhånd:

  • Kontaktpunkt/beredskabsansvarlig (typisk DPO eller it-sikkerhedsansvarlig) — modtager meldingen, koordinerer og træffer beslutning om anmeldelse. Udpeg også en stedfortræder, så beredskabet ikke falder, når én person er fraværende.
  • IT/teknik — inddæmmer bruddet teknisk (lukker adgange, isolerer systemer, gendanner fra backup) og leverer de tekniske fakta til risikovurderingen.
  • Ledelsen — inddrages ved brud med høj risiko og træffer beslutning om ekstern kommunikation.
  • Kommunikation/kundeservice — håndterer underretning af de registrerede og eksterne henvendelser i et ensartet sprog.
  • Databehandlere — underretter kontaktpunktet inden for den frist, der er aftalt i databehandleraftalen.

Skriv rollerne og kontaktoplysningerne ind i selve proceduren, så ingen skal lede efter dem, mens uret tikker. Et brud opdaget fredag aften må ikke vente til mandag — 72-timersfristen løber uanset.

Sådan hænger loggen sammen med din øvrige dokumentation

Brudloggen står ikke alene. Den bør henvise til de behandlinger i din fortegnelse over behandlingsaktiviteter, bruddet vedrører, og til de databehandlere, der eventuelt er involveret. Gentagne brud af samme type er et signal om, at en foranstaltning svigter — måske skal et system ændres efter databeskyttelse gennem design, eller en procedure strammes. Brug loggen aktivt som et styringsredskab, ikke blot som et lovkrav.

Test og evaluering af beredskabet

En procedure, der aldrig er afprøvet, svigter typisk under pres. Test derfor beredskabet mindst årligt med en enkel øvelse — fx en fingeret fejlsendt e-mail eller et simuleret hackerangreb — og mål, hvor lang tid der går, før bruddet er meldt internt, vurderet og eventuelt anmeldt. Øvelsen afslører hurtigt, om kontaktpunktet er kendt, om medarbejderne ved, hvad de skal gøre, og om databehandlernes underretning fungerer.

Efter hvert reelt brud bør du gennemføre en kort evaluering: kunne bruddet være undgået, og bør en foranstaltning, et system eller en databehandleraftale justeres? Pligterne følger af artikel 33-34 i databeskyttelsesforordningen, og Datatilsynet har udgivet en vejledning om håndtering af brud på persondatasikkerheden, som er et nyttigt grundlag for at bygge din procedure.

Ofte stillede spørgsmål

Skal jeg logge brud, som jeg ikke anmelder til Datatilsynet?

Ja. Artikel 33, stk. 5, kræver, at du dokumenterer alle brud på persondatasikkerheden — også dem, du vurderer ikke skal anmeldes. Dokumentationen skal omfatte de faktiske omstændigheder, virkningerne og de afhjælpende foranstaltninger, og Datatilsynet kan bede om at se brudloggen.

Hvornår “opdager” jeg et brud i lovens forstand?

Du anses for at være bekendt med bruddet, når du med rimelig sikkerhed har konstateret, at der er sket et sikkerhedsbrud, der involverer personoplysninger. En kort indledende undersøgelse er tilladt, men 72-timersfristen løber fra det tidspunkt, du med rimelighed burde have konstateret bruddet.

Hvad skal en brudlog som minimum indeholde?

Som minimum: en beskrivelse af bruddet, dets virkninger og de trufne afhjælpende foranstaltninger (art. 33, stk. 5). I praksis bør loggen også indeholde tidspunkt for opdagelse, kategorier og antal berørte, risikovurderingen og om der er anmeldt og underrettet — så den kan dokumentere hele forløbet.

Konklusion

En procedure for håndtering af brud og en brudlog er de to redskaber, der gør, at du kan reagere korrekt inden for 72 timer og dokumentere det bagefter. Følg køreplanen i fem trin, før brudloggen over alle brud, byg korte underretningsfrister ind i dine databehandleraftaler, og træn medarbejderne. Læs det juridiske grundlag i vores guide til anmeldelse af brud (art. 33-34), og lad DPO’en være kontaktpunkt.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →