Procedure ved databrud

Jf. GDPR artikel 33 og 34 — Sidst opdateret: 6. april 2026

1. Definition af databrud

Et databrud (brud på persondatasikkerheden) er en sikkerhedshændelse, der fører til:

  • Uautoriseret adgang: Tredjepart får adgang til personoplysninger uden tilladelse
  • Tab af data: Personoplysninger går tabt og kan ikke genskabes
  • Ændring af data: Personoplysninger ændres uden autorisation
  • Uautoriseret videregivelse: Personoplysninger deles med uvedkommende

Eksempler: hackerangreb, ransomware, fejlsendt e-mail med persondata, stjålet udstyr, SQL injection, eller utilsigtet offentliggørelse af brugerdata.

2. Identifikation af databrud

Databrud kan identificeres gennem følgende kanaler:

  • Systemovervågning: Automatisk monitoring af servere, databaser og netværkstrafik
  • Audit logs: Gennemgang af sikkerhedslogfiler for uregelmæssigheder
  • Brugerhenvendelser: Rapporter fra brugere om mistænkelig aktivitet på deres konto
  • Medarbejderobservation: Intern opdagelse af sikkerhedshændelser
  • Tredjepart: Notifikation fra Stripe, hostingudbyder eller sikkerhedsforskere

Enhver mistanke om databrud skal straks rapporteres til den dataansvarlige (Thomas Farre) via support@dating365.dk.

3. Klassificering af databrud

NiveauBeskrivelseHandling
Lav risikoBegrænset omfang, ingen følsomme data berørt, ingen sandsynlig skadeIntern dokumentation. Datatilsynet behøver ikke notificeres.
Middel risikoPersonoplysninger eksponeret, men begrænset omfang eller sandsynlighed for skadeNotifikation til Datatilsynet inden 72 timer.
Høj risikoFølsomme data, stort omfang, sandsynlig skade for de registreredeDatatilsynet + direkte notifikation til berørte brugere.

4. Notifikation til Datatilsynet (inden 72 timer)

Ved databrud med middel eller høj risiko skal Datatilsynet notificeres inden 72 timer efter opdagelsen, jf. GDPR artikel 33.

Notifikationen skal indeholde:

  • Beskrivelse af bruddets karakter (antal berørte, type data)
  • Kontaktoplysninger på den dataansvarlige
  • Sandsynlige konsekvenser af bruddet
  • Foranstaltninger truffet eller foreslået for at afhjælpe bruddet

Datatilsynet kontaktoplysninger:

Website: datatilsynet.dk

Anmeld via: Anmeldelsesformular

Hvis det ikke er muligt at notificere inden 72 timer, skal forsinkelsen begrundes.

5. Notifikation til berørte brugere

Ved høj risiko for de registreredes rettigheder og frihedsrettigheder skal berørte brugere notificeres direkte, jf. GDPR artikel 34.

Notifikationen skal:

  • Beskrives i et klart og letforståeligt sprog
  • Forklare bruddets karakter og omfang
  • Angive kontaktoplysninger for yderligere spørgsmål
  • Beskrive sandsynlige konsekvenser
  • Angive foranstaltninger truffet for at afhjælpe bruddet
  • Anbefale brugerne at ændre adgangskode og aktivere 2FA

Notifikation sendes via e-mail til berørte brugere samt via in-app-besked.

6. Dokumentation

Alle databrud — uanset risikoniveau — skal dokumenteres internt. Dokumentationen skal indeholde:

  • Hvad: Beskrivelse af bruddet og dets karakter
  • Hvornår: Tidspunkt for opdagelse og varighed
  • Omfang: Antal berørte brugere og typer af data
  • Konsekvenser: Faktiske og sandsynlige konsekvenser
  • Foranstaltninger: Tiltag for at stoppe bruddet og forhindre gentagelse
  • Notifikationer: Hvem er notificeret og hvornår
  • Opfølgning: Evaluering af foranstaltningernes effektivitet

Dokumentation opbevares i minimum 5 år og skal kunne fremvises til Datatilsynet ved tilsyn.

7. Kontaktoplysninger

Dataansvarlig: Thomas Farre

Virksomhed: Farres Apps

CVR: 46133250

Adresse: Hovedgaden 6621 Gesten, Danmark

E-mail: support@dating365.dk

Datatilsynet: datatilsynet.dk

PrivatlivspolitikVilkårCookiepolitikDPIAArtikel 30 Fortegnelse

© 2026 Farres Apps (CVR: 46133250). Alle rettigheder forbeholdes.