Menu

Dine personlige valg

Sikkerhedsbrud og anmeldelse

"Hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet" er definitionen af et sikkerhedsbrud. 

Det vil sige er personoplysninger er blevet slettet, ændret, videregivet til en forkert modtager, eller opbevaret usikkert, så uvedkommende har haft adgang til personoplysningerne fremligger der et sikkerhedsbrud. 

Alvorligheden af bruddet vurderes ud fra konsekvenserne. Det afgør også, om bruddet skal anmeldes til Datatilsynet, og om den registrerede skal underrettes.

Hent afsnit som PDFSend afsnit som e-mail

1. Brud på datasikkerheden

Som udgangspunkt skal alle brud på persondatasikkerheden anmeldes til Datatilsynet.

Kun hvis det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ikke ske anmeldelse til Datatilsynet. Vurderingen af, om bruddet indebærer en risiko, skal være konkret og specifik i forhold til konsekvenserne for den registrerede. Selv hvis det vurderes, at der ikke er behov for at anmelde bruddet til Datatilsynet, skal forløbet fortsat dokumenteres og journaliseres.

Et brud på persondatasikkerheden er enhver hændelse, som fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse, adgang eller anden form for kompromittering af personoplysninger i de fælles systemer.

Det gælder utilsigtede hændelser som fx:

  • Et vedhæftet dokument eller fysisk dokument med personoplysninger, der fejlagtigt sendes til en forkert modtager enten via mail eller som brev
  • En USB-nøgle med persondata, der mistes
  • En medarbejder, der får adgang til oplysninger, som denne ikke burde se
  • Attester eller øvrige dokumenter som er tilgængelige for uvedkommende
  • Fejl i systemer, der medfører tab af persondata

Flowdiagrammet over "Håndtering af brud på datasikkerhed" er i printvenlig version nedenstående. 
Vil du vide mere?
Dokumenter
Håndtering af brud på persondatasikkerheden - print

2. Anmeldelse af brud

Procedure og frist

Et brud skal anmeldes til Datatilsynet straks og senest 72 timer efter, det opdages. Fristen gælder også i weekender, ferier og på helligdage. Overskrides de 72 timer, skal den dataansvarlige kunne redegøre for hvorfor anmeldelsen til Datatilsynet ikke kunne ske inden for fristen.

Anmeldelse kan ske trinvis og senere suppleres. At den dataansvarlige ikke kan afgive alle de oplysninger, der som minimum skal med i anmeldelsen, inden for 72 timer, er ikke en undskyldning for at undlade anmeldelse.  Den dataansvarlige må i stedet indsende oplysninger trinvist til Datatilsynet uden yderligere forsinkelse.

Anmeldelse sker via det offentlige indberetningssystem www.virk.dk og kræver, at anmelderen har sognets brugeradgang til www.virk.dk. Oftest har en kordegn brugeradgang til www.virk.dk for at kunne indberette sygedagpengerefusion med videre. Vær opmærksom på, at det kan være en fordel, at et menighedsrådsmedlem også har brugeradgang, så indberetning af brud kan ske rettidigt, også selv om kordegnen er fraværende.

På www.virk.dk udfylder anmelderen en formular med oplysninger om databruddet. Formularen skal indsendes, også selv om anmeldelsen kun er delvis. Den kan senere suppleres.

Minimumskrav til anmeldelsen (udfyldes i formularen):

  • Karakteren af bruddet på persondatasikkerheden
  • Navn og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • De foranstaltninger, som den dataansvarlige har truffet eller foreslår for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse skadevirkninger.

Det er vigtigt, at du husker at downloade en kopi af den indsendte anmeldelsesblanket, da den er din dokumentation for, at du har foretaget anmeldelsen. Husk at sende en kopi af anmeldelsen til By-, Land- og Kirkeministeriets fælles udpeget databeskyttelsesrådgiver (også kaldet DPO).

Databeskyttelsesrådgiveren fra By-, Land- og Kirkeministeriet kan kontaktes på tlf. 33 92 33 90 og via databeskyttelsesraad@km.dk.

Vil du vide mere?
Links
Anmeldelse af sikkerhedsbrud på www.virk.dk

3. Dokumenter brud

Efter indberetningen skal forløbet dokumenteres og journaliseres.

Dokumentationen skal imidlertid i alle tilfælde indeholde en række informationer om bruddet, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger.

Den dataansvarlige bør endvidere sørge for at dokumentere sine begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet.

Kravene til dokumentationen kan også opstilles således:

  • Dato og tidspunkt for bruddet
  • Hvad skete der i forbindelse med bruddet
  • Hvad er årsagen til bruddet
  • Hvilke (typer) personoplysninger er omfattet af bruddet
  • Hvilke konsekvenser har bruddet for de berørte personer
  • Hvilke afhjælpende foranstaltninger er truffet
  • Hvorvidt der er sket anmeldelse til Datatilsynet eller ej

Brud på fysiske personers rettigheder og frihedsrettigheder
Brud på persondatasikkerheden i forhold til fysiske personers rettigheder og frihedsrettigheder kan  fx omfatte:

  • Diskrimination 
  • Identitetstyveri eller –svindel
  • Økonomisk tab
  • Skade på omdømme
  • Tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede

4. Underretning af den registrerede

Menighedsrådet skal vurdere risikoen for at afgøre, om der skal ske underretning. Alle mulige konsekvenser for den registrerede bør tages i betragtning.

Underretning skal ske, hvis bruddet indebærer en høj risiko for personers rettigheder og frihedsrettigheder. Der findes i databeskyttelsesforordningen ikke en definition af begrebet høj risiko, men jo alvorligere konsekvenser et brud kan medføre, jo større er risikoen for de berørte personer. Eksempler på brud, hvor man vurderer, at der er høj risiko for den registrerede, kan være læk af CPR-numre (risiko for identitetstyveri) eller hemmelig adresse (risiko for at blive fundet).

Underretning skal ske til den enkelte registrerede uden unødig forsinkelse og være klar og forståelig. Den skal beskrive karakteren af bruddet og mindst indeholde oplysninger om:

  • Navn og kontaktoplysninger på databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • De sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • De foranstaltninger, som den dataansvarlige har truffet eller foreslår for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse skadevirkninger.

Underretning er ikke nødvendig, hvis bruddet sandsynligvis ikke indebærer en høj risiko for den registrerede. Derudover hvis en af følgende betingelser er opfyldt:

  • Den dataansvarlige inden bruddet har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger.
  • Den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registrerede ikke længere er reel.
  • Fx hvis en kirketjener kortvarigt har set en deltagerliste med allergioplysninger, og den dataansvarlige straks indskærper tavshedspligten.
  • Det vil kræve en uforholdsmæssig indsats – i så fald skal der i stedet gives en offentlig meddelelse eller tilsvarende foranstaltning, så de registrerede underrettes på en tilsvarende effektiv måde.

Hvis I er i tvivl om, hvorvidt et brud kræver underretning af den registrerede, kan I altid kontakte Landsforeningen eller stifterne for rådgivning herom.

5. Pligt til at logge hændelser

Alle sikkerhedshændelser skal logges eller registreres.

Menighedsrådet skal dokumentere alle brud- også dem, der ikke indberettes. Dokumentationen skal beskrive de faktiske omstændigheder, konsekvenser, afhjælpende foranstaltninger, og om der er indsendt anmeldelse til Datatilsynet.

6. Eksempler

EksempelAnmeldelse til DatatilsynetUnderretning af den registrerede
Kirkesangers pc stjæles, indeholdende korlister med navn, adresse, mailadresser, telefonnumre.
PC er ikke krypteret.		Ja, idet bruddet indebærer en risiko for den registrerede.

Nej.

Medmindre en registreret har hemmelig adresse – her kan underretning være nødvendig.

Et menighedsrådsmedlems private pc hackes. Ansøgninger til julehjælp ligger lokalt på pc’en i strid med menighedsrådets instruks.Ja, idet bruddet indebærer en risiko for den registrerede.Ja, da oplysninger i ansøgning om julehjælp ofte indeholder oplysninger af fortrolig karakter fx om økonomi.
Et menighedsrådsmedlems private pc hackes. Ansøgninger til julehjælp ligger på FIN, som kræver login.Nej, idet bruddet ikke indebærer en risiko for den registrerede.Nej
Kordegn sender deltagerliste til fællesspisning, med oplysning om allergener, til et forkert menighedsrådsmedlem. Modtageren sletter listen.Ikke nødvendigvis, hvis menighedsrådet vurderer, at bruddet ikke indebærer en risiko for den registrerede.Nej

 

Vil du vide mere?
Links
Datatilsynets vejledning om håndtering af brud på persondatasikkerheden

Hent som PDF
Indhold
  1. Brud på datasikkerheden
    1. Anmeldelse af brud
      1. Dokumenter brud
        1. Underretning af den registrerede
          1. Pligt til at logge hændelser
            1. Eksempler

              Udarbejdet af


              Denne vejledning er udarbejdet af de ti stifter i samarbejde med Landsforeningen af Menighedsråd

              Kontakt


              Har du spørgsmål til vejledningen eller brug for rådgivning?
              Landsforeningen af Menighedsråd, kontor@menighedsraad.dk, 87 32 21 33
              eller
              Et af de ti stifter i Danmark. Du finder kontaktinformation på de ti stifter her: Stifterne

              Opdateret


              1. juni 2026

              Tilpas dine personlige valg

              For at kunne vise dig indhold tilpasset til dig anbefaler vi at du laver dine indstillinger på de næste sider.

              Start

              Velkommen til den åbne del af Folkekirkens IntraNet

              For at kunne vise dig indhold tilpasset til dig anbefaler vi at du laver dine indstillinger på de næste sider.

              Start

              1. Vælg din rolle eller dine roller

              Ansat ved et sogn, kirke eller kirkegård.

              Ansat ved provsti, stift, Kirkeministeriet eller fællesfondsinstitution.

              Formand for et menighedsråd.

              Kasserer i et menighedsråd.

              Kirkeværge.

              Kontaktperson.

              Præst.

              Øvrige medlemmer af et menighedsråd.

              OBS! Du kan altid ændre dine valg efterfølgende ved at klikke på

              TilbageNæste

              2. Vælg dit stift eller dine stifter

              Fyens Stift

              Haderslev Stift

              Helsingør Stift

              Københavns Stift

              Lolland-Falsters Stift

              Ribe Stift

              Roskilde Stift

              Viborg Stift

              Aalborg Stift

              Aarhus Stift

              OBS! Du kan altid ændre dine valg efterfølgende ved at klikke på

              Tilbage

              Færdig!

              Du har udfyldt dine personlige valg, og indholdet på siden har tilpasset sig dem.

              Du kan altid ændre dine valg ved at gå til menuen og klikke på:

              Dine personlige valg

              Luk