En af de vidtrækkende krav i EU's persondataforordning er kravet om indberetningspligt, som medfører, at man ikke lovligt kan løse en eventuelt sikkerhedsbrist og derefter undlade at fortælle det til nogen. Det vil for mange virksomheder forkomme ubehageligt at være tvunget til selv, at skulle udsætte sig for offentlig eksponering.
Man kan godt have en formodning om at det længe har været sådan, at kun et fåtal af brud på IT-sikkerheden er kommet til offentlighedens kendskab, da mange af de berørte virksomheder sandsynligvis har valgt at holde den slags informationer tæt til kroppen for at undgå tab af omdømme.
De nye regler om underretningspligt betyder, at virksomheder og offentlige myndigheder har pligt til at underrette den nationale persondata myndighed i tilfælde af at der sker brud på persondatasikkerheden. I Danmark er det datatilsynet, som fungerer som den nationale persondatamyndighed.
I tilfælde af et brud på sikkerheden er det den dataansvarliges pligt at underrette datatilsynet. Dette skal ske inden 72 timer efter at brud på sikkerheden er opdaget. Hvis det er det er en databehandler, som opdager databruddet, er det dennes pligt at underrette den data ansvarlige. Dette skal ske uden unødigt ophold.
Den skriftlige underretning skal indeholde følgende:
- En generel beskrivelse, ansat berørte personer over mængden af data.
- En vurdering af de mulige konsekvenser af bruddet på IT-sikkerhed.
- En liste over de tiltag, som virksomheden har planlagt eller allerede har iværksat for at begrænse omfanget af bruddet på datasikkerheden.
- Endelig skal være anført kontakt informationer på en evt. DPO eller anden relevant person i virksomheden.
Hvis et brud på datasikkerheden kan medføre en risiko for registrerede personers rettigheder, har den dataansvarlige pligt til at underrette de berørte personer.
Underretningen skal ske uden unødigt ophold og skal indeholde samme informationer som indberetningen til datatilsynet. Dog har de enkelte berørte personer iikke et krav på at få oplyst antallet af berørte personer og mængden af de omfattede data.