Et personvernbrudd krever ofte rapportering til Datatilsynet innen 72 timer. For mange bedrifter er det første gangen de møter regelverket i praksis, og tidsfristen er knapp. Denne guiden viser hva som må skje — og i hvilken rekkefølge.
Hva regnes som brudd
Etter GDPR artikkel 4 nr. 12 er et personvernbrudd ethvert brudd på sikkerheten som fører til utilsiktet eller ulovlig destruksjon, tap, endring, ulovlig spredning av eller tilgang til personopplysninger.
| Type brudd | Eksempler |
|---|---|
| Konfidensialitet | Hacking, e-post sendt til feil mottaker, lekkasje |
| Integritet | Endring eller ødeleggelse av data uten godkjenning |
| Tilgjengelighet | Tap av data, kryptering uten backup, system nede |
Mange tror brudd kun er hacking — det er feil. En e-post til feil kunde er også brudd.
Når må det meldes
- Til Datatilsynet: innen 72 timer fra bedriften ble klar over bruddet, hvis det er sannsynlig at bruddet medfører risiko for de registrerte
- Til de registrerte: hvis bruddet medfører høy risiko for fysiske personer
- Aldri til myndigheter: hvis bruddet ikke utgjør risiko, men da må vurderingen dokumenteres internt
Slik svarer dere de første 72 timene
- Bekreft hva som har skjedd — hvilken data, hvilke personer, hvor mange.
- Stopp pågående brudd og begrens skaden (sperr kontoer, isoler systemer).
- Logg tidspunkt da dere ble klar over hendelsen.
- Vurder risiko for de registrerte — sensitivitet, omfang, mulig identifisering.
- Send melding til Datatilsynet via egen tjeneste .
- Vurder informasjon til de berørte hvis høy risiko.
Hva meldingen må inneholde
- art av bruddet, kategorier og antall registrerte
- kontaktinformasjon for personvernombud eller annen kontaktperson
- sannsynlige konsekvenser
- tiltak iverksatt eller planlagt
- vurdering av risiko
Dersom alt ikke er klart innen 72 timer, kan meldingen suppleres senere.
Avtaler med databehandler
Hvis bruddet skjer hos en databehandler, må databehandleravtalen ha frister for varsling — typisk 24 timer eller “uten ugrunnet opphold”. Bedriften forblir ansvarlig overfor Datatilsynet.
Vanlige feil
- 72-timersfristen telles fra teknikeren oppdaget bruddet, ikke fra varsling til ledelsen
- bruddet vurderes som “lavt” uten skriftlig vurdering
- de registrerte får ikke beskjed selv om risikoen er høy
- bedriften har ikke en plan og bruker hele fristen på å finne ansvarlig
Når bør dere hente konkret hjelp?
Ved store brudd, sensitive data eller mulig regress mot databehandler bør juridisk involveres straks. Dette er generell veiledning og ikke personlig juridisk råd.
Relaterte guider
- Avvik og brudd på personopplysningssikkerheten — hva gjør du?
- Databrudd hos databehandler — hvem gjør hva?
- GDPR-databehandleravtale for bedrifter
Trenger dere bistand til en konkret hendelse? Be om hjelp med rapportering.