Ifølge Cyber Security Breaches Survey 2025(nyt vindue) blev mere end 93 % af alle virksomheder og 95 % af alle velgørende organisationer mål for phishing-angreb i 2025, og mange organisationer blev ramt flere gange.

På verdensplan er de typer data, der oftest lækkes, navne og e-mailadresser (i 9 ud af 10 databrud), efterfulgt af telefonnumre, adgangskoder og følsomme data, ifølge forskning udført for vores Data Breach Observatory.

Små virksomheder er særligt sårbare: 1 ud af 4 bliver hacket på trods af deres cybersikkerhedsforanstaltninger.


I lyset af alt dette skal virksomheder og sikkerhedsprofessionelle være forberedte og bevidste om deres rapporteringsforpligtelser for at holde driften sikker og i overensstemmelse med reglerne.

I Storbritannien er det mere end en juridisk pligt at rapportere persondatabrud til Information Commissioner’s Office (ICO); det er en nøgleprocedure, der former offentlighedens tillid, beskytter enkeltpersoner og påvirker resultatet af et databrud for berørte organisationer.

I denne vejledning vil vi udforske, hvad der kvalificerer som et rapporteringspligtigt databrud, hvordan databrud er reguleret i Storbritannien, og praktiske trin (baseret på erfaringer fra den virkelige verden) for at hjælpe virksomheder med at tackle rapportering direkte.

Hvad kvalificerer som et databrud i Storbritannien?

Hvornår og hvordan man rapporterer et databrud til ICO

Hvad er de mest almindelige udfordringer ved rapportering af databrud?

Hvad er de bedste praksisser for forberedelse til rapportering af databrud?

Hvordan Proton Pass for Business kan reducere Deres risici for databrud

Hold Deres virksomhed forberedt

Hvad kvalificerer som et databrud i Storbritannien?

Et databrud i Storbritannien refererer til enhver sikkerhedshændelse, der resulterer i utilsigtet eller ulovligt tab, ødelæggelse, ændring, uautoriseret videregivelse af eller adgang til data. Ifølge ICO’s vejledning sker et databrud, når data er blevet lagret dårligt eller bragt i fare, uanset om begivenheden er forårsaget af menneskelige fejl, tekniske fejl eller kriminelle handlinger.

Nogle af de situationer, der kan føre til databrud, omfatter:

  • En e-mail indeholdende følsomme oplysninger sendt til den forkerte modtager
  • Tab eller tyveri af en enhed, der lagrer ukrypterede personlige detaljer
  • Utilsigtet sletning eller beskadigelse af vigtige filer
  • Malware(nyt vindue)-infektioner, der giver udenforstående mulighed for at få adgang til medarbejderoptegnelser
  • Fysiske filer, der mistes eller efterlades på offentlige områder

Disse situationer er en vigtig påmindelse om, at databrud ikke er begrænset til hacking-hændelser. I praksis kan simple fejl, såsom en forlagt faktura eller et forkert adresseret brev, være lige så alvorlige ifølge loven.

Det vil sige, at påvirkningen ikke er begrænset til store begivenheder. Hvis der opstår en reel risiko for personers rettigheder eller friheder — som identitetstyveri, svindel eller skade på omdømme — har De sandsynligvis at gøre med et rapporteringspligtigt databrud. Med andre ord kan selv en lille forglemmelse have stor betydning.

Hvornår og hvordan man rapporterer et databrud til ICO

Ifølge ICO’s krav(nyt vindue) skal et persondatabrud, der sandsynligvis vil resultere i en risiko for personers rettigheder og friheder, rapporteres inden for 72 timer, efter man er blevet opmærksom på det. Undladelse af at rapportere det kan resultere i bøder på op til 2 % af den verdensomspændende omsætning for ikke at rapportere. Derudover er den maksimale bøde for databrud i Storbritannien 4 %.

For organisationer, der fungerer som tillidstjenesteudbydere under UK eIDAS(nyt vindue), anvendes specifikke regler(nyt vindue): Hvis et databrud har en betydelig indvirkning på de leverede tjenester, skal ICO underrettes inden for 24 timer, og brugerne skal informeres hurtigst muligt.

Men hvordan ved De, om et databrud når tærsklen for rapportering? Nøgletesten er risiko. Spørg Dem selv: Kunne denne hændelse forårsage fysisk, materiel eller immateriel skade for enkeltpersoner? Hvis svaret er “muligvis”, er handling nødvendig.

Her er, hvordan man rapporterer et databrud i Storbritannien trin for trin:

  1. Identificer og inddæm databruddet hurtigt. Tag øjeblikkelig handling for at minimere skaden — for eksempel tilbagekald adgang, isoler berørte systemer eller nulstil kompromitterede legitimationsoplysninger.
  2. Vurder risikoen. Hvem er påvirket og hvordan? Overvej den type og mængde personoplysninger, der er involveret, hvor nemt det er at identificere enkeltpersoner, samt eventuelle mulige konsekvenser.
  3. Hold styr på alt. Selvom De beslutter ikke at rapportere det, er De juridisk forpligtet til at føre en fortegnelse over databrud, Deres undersøgelser og begrundelsen bag Deres beslutning.
  4. Udfyld ICO’s online rapporteringsformular. Følgende information anmodes om:
    • En beskrivelse af, hvad der skete, og hvordan det blev opdaget
    • Dato og tidspunkt for opdagelsen af databruddet
    • Kategorierne og det omtrentlige antal involverede personer og poster
    • Sandsynlige udfald og handlinger truffet for at løse problemet
    • Præventive foranstaltninger, der var på plads
    • Kontaktdetaljer på Deres databeskyttelsesrådgiver (DPO) eller primære rapportbehandler
  5. Kommuniker med berørte personer, hvis der er høj risiko for deres rettigheder eller friheder. Dette er ikke kun bedste praksis — den generelle forordning om databeskyttelse (GDPR) og Data Protection Act kræver, at De tager denne handling.

Da det er et lovkrav, må virksomheder ikke tøve med at rapportere disse begivenheder, selvom de tror, at situationen måske kan løses. Uanset typen af databrud og dets udvidelse kan rettidig notifikation faktisk vise ICO, at Deres virksomhed tager ansvar og afhjælpning alvorligt. Desuden hjælper overholdelse af ICO’s rapporteringskrav Deres virksomhed med at opbygge tillid, både hos kunder og hos tilsynsmyndigheder.

ICO’s side om rapportering af persondatabrud(nyt vindue) dækker alle nuancerne og kan hjælpe Dem med at identificere en kritisk situation og handle derefter.

Hvad er de mest almindelige udfordringer ved rapportering af databrud?

På trods af tydelige lovkrav fejler virksomheder ofte af de samme grunde. Her er, hvor problemerne normalt starter:

  • Forsinkede eller manglende rapporter. Nogle gange er teams ikke sikre på, hvem der er ansvarlig for at rapportere, eller de opdager ikke databruddet, før det allerede er for sent. Resultatet? Bøder fra ICO og beskadiget troværdighed.
  • Mangel på fuldstændig information. At rapportere for tidligt – uden at indsamle vigtige fakta – kan efterlade huller i rapporten eller udløse opfølgende spørgsmål fra ICO.
  • Dårlig intern kommunikation. Følsomme problemer kan “sidde fast” i en afdeling i stedet for at blive eskaleret til den rette kontaktperson eller DPO.
  • Utilstrækkelige optegnelser. Nogle virksomheder har lidt eller ingen dokumentation for, hvordan databruddet blev håndteret, selv efter at have adresseret det primære problem. Dette efterlader dem udsat for lovgivningsmæssig granskning.
  • Usikkerhed hos personalet eller mangel på træning. Hvis medarbejdere ikke ved, hvad der kvalificerer som et databrud, eller hvis de er usikre på rapporteringsprocedurer, kan hændelser glide gennem sprækkerne.

Hver hændelse ser lidt anderledes ud, men fraværet af en tydelig responramme gør altid tingene værre. Det er derfor, en struktureret rapporteringsvejledning betyder lige så meget som de tekniske kontroller. Det er også værd at huske på, at forberedelse slår panik, hver gang.

Hvad er de bedste praksisser for forberedelse til rapportering af databrud i Storbritannien?

Følgende praksisser (og et par udvalgte værktøjer) lægger et solidt fundament, hvilket gør lovgivningsmæssig overholdelse mindre som en brandøvelse og mere som en kontrolleret proces.

1. Etabler hændelsesdetektion og dokumentation

Det hele starter med bevidsthed. Konfigurer advarsler for mistænkelig aktivitet, og opfordr medarbejdere til straks at rapportere mærkelige e-mails, manglende data eller uautoriseret adgang. Når en hændelse mistænkes:

  • Dokumenter hvem, hvad, hvor, hvornår og hvordan
  • Gem logs og skærmbilleder til Deres optegnelser
  • Behold beviser, selvom De senere opdager, at det er en falsk alarm

At dokumentere tidlige detaljer sikrer, at De har et solidt fundament for rapportering og analyse efter hændelsen.

2. Hold adgang og brug af legitimationsoplysninger under gennemgang

Da adgangskoder og adgangstokens kan åbne døren til følsomme data, er kontrol af legitimationsoplysninger en af de hurtigste måder at opdage databrud og begrænse skader på. Regelmæssige revisioner afslører delte eller genbrugte adgangskoder, manglende 2FA, inaktive konti eller uautoriseret rettighedseskalering.

Disse adgangsgennemgange bør være:

  • Regelmæssigt planlagt, ikke ad hoc
  • Omfattende og dække admin, sky, lokale systemer og leverandørkonti
  • Bakket op af et værktøj, der sporer brug af legitimationsoplysninger, ændringer og aktivitet med detaljerede logs

Proton Pass for Business er en sikker adgangskodeadministrator til virksomheder, der tilbyder flere funktioner til at hjælpe virksomheder med at forhindre disse databrud, herunder overvågning af adgangskode-sundhed, tilpassede holdpolitikker og advarsler om databrud.

Denne tilgang reducerer med de rigtige værktøjer risikoen for et databrud relateret til legitimationsoplysninger og hjælper med hurtigt at identificere, hvad der gik galt, hvis der opstår en hændelse.

3. Konfigurer interne rapporteringsarbejdsgange

Tydelig kommunikation slår kaos, og en simpel sti for hændelseseskalerering er den respons, Deres virksomhed har brug for til effektiv rapportering af databrud. Her er et eksempel på en gnidningsløs arbejdsgang:

  • Alt personale rapporterer mistænkte hændelser til en central sikkerhedspostkasse eller ansvarlig medarbejder
  • Med den indsendte information bliver hændelser undersøgt og triageret hurtigt af et dedikeret team
  • Derefter beslutter en navngiven person, såsom DPO’en, om det endelige opkald til rapportering skal foretages

Et simpelt hændelsesrutediagram, delt i onboarding og påmindelser, gør underværker. Gør det nemt at rapportere, og implementer en stigma-fri kultur, for hvis teammedlemmer frygter konsekvenser, vil de skjule fejl i stedet for at rapportere dem.

4. Invester i personalets bevidsthed og regelmæssig træning

Cyber Security Breaches Survey 2025(nyt vindue) bekræfter, at phishing fortsat er den førende årsag til databrud (oplevet af 85 % af de adspurgte virksomheder). For at se denne virkelighed i øjnene er træning af medarbejdere i at spotte røde flag — fra mistænkelige e-mails til forsøg på social manipulation — en af de billigste og mest effektive handlinger.

En lettilgængelig tilgang understøttet af eksempler fra den virkelige verden kan forbedre Deres træning. Derudover bør De opdatere Deres træningsindhold så ofte som muligt og undgå at stole på generiske kurser, der ikke er anvendelige i Deres branche eller Deres organisatoriske konfiguration.

5. Vurder og registrer konsekvenser af databrud objektivt

Den bedste rute til at vurdere, om et databrud er rapporteringspligtigt, er risikovurdering. Det er vigtigt at dokumentere:

  • Typer af mistede data, og om de er følsomme (sundhedsdata, finansielle data, mindreåriges data osv.)
  • Hvor nemt berørte personer kan identificeres
  • Hvilken skade der kan opstå (identitetstyveri, forlegenhed, økonomisk tab osv.)

At handle tidligt og skrive Deres vurdering ned viser ICO, at De tog situationen alvorligt.

6. Øv beredskabsøvelser for databrud

At iscenesætte falske databrud er en gammeldags skrivebordsøvelse, der kan gøre en reel forskel. Den fremhæver skjulte huller, afslører problemer i arbejdsgangen og tester eskaleringsprocessen, før den ægte vare sker.

Resultatet? Ikke bare forstærkning af overholdelse, men et team, der ved, hvad de skal gøre (og hvorfor) under pres.

7. Udnyt sikker adgangsstyring og forebyggelsesfokuserede værktøjer

Kompromitterede adgangskoder udgør fortsat en primær risiko. Det er grunden til, at sikker adgangskodeadministration ikke er en central del af hændelsesforebyggelse og -respons. Løsninger som Proton Pass for Business begrænser eksponeringen under databrud markant ved at automatisere rotation af legitimationsoplysninger, overvåge adgangskode-sundhed og gøre det meget sværere for phishing at lykkes.

De kan udforske yderligere strategier og værktøjsforklaringer i Protons ressourcer til cybersikkerhed, især hvis De er ved at gennemgå Deres eget værktøjssæt.

Hvordan Proton Pass for Business kan reducere Deres risici for databrud

Virksomheder af enhver størrelse er sårbare over for databrud. Faktisk kan SMB’er ifølge forskning udført af Proton være de mest sårbare af alle. Men med de rette værktøjer kan enhver virksomhed reducere deres risici for databrud: Proton Pass for Business adresserer både tekniske udfordringer og udfordringer med overholdelse.

  • End-to-end kryptering beskytter brugeres legitimationsoplysninger i hvile og under transit. Selv hvis infrastrukturen kompromitteres, forbliver dataene utilgængelige for angribere.
  • Adgangskode-sundhed-tjek forbedrer sikkerheden i virksomhedens netværk. Svage eller genbrugte adgangskoder identificeres, og der gives besked for at forbedre sikkerheden.
  • Monitorering af det mørke net sporer lækkede legitimationsoplysninger og sender advarsler. Aktiv scanning over hele det mørke web giver Dem mulighed for at identificere databrud og reducere potentielle skader.
  • Tilpassede, håndhævelige holdpolitikker etablerer en stærkere administration af adgangskoder. Strenge og tilpasningsdygtige politikker for adgangskoder, 2FA og datadeling håndhæver adgangssikkerhed i henhold til Deres organisations behov.
  • Centrale admin-værktøjer, automatiseret rapportering og kontrol over deling af legitimationsoplysninger betyder, at ændringer kan implementeres på få minutter, ikke dage.
  • Open source-kode og regelmæssige uafhængige revisioner opbygger tillid. Sikkerhedskontroller er ikke bare påstande – de kan verificeres af enhver.

Ved at fokusere på styrkelse af brugere, åben sikkerhed og nem implementering, er Proton i overensstemmelse med en privatliv-først-tilgang. Dette hjælper Dem med at opbygge en arbejdskultur, hvor modstandsdygtighed over for databrud er indbygget i Deres daglige arbejdsgange.

For organisationer, der er klar til at bevæge sig mod sikker adgangsstyring som en del af et program for beredskab over for databrud, er Protons adgangskodeadministrator til erhverv et oplagt valg; især hvis overholdelse, brugervenlighed og gennemsigtighed rangerer højt på Deres tjekliste.

For eksempel deler Novalytica masser af logins med klienter og søgte en sikker måde at udføre denne opgave på. Proton Pass for Business imødekom deres behov med en komplet løsning til deling af information og logins med kunder, hvilket sikrer sikkerhed og sporbarhed.

Hvis De er interesseret i praktiske tips til at introducere sikre legitimationsoplysninger og rapportering af databrud i stor skala, kan De også udforske nogle detaljerede eksempler på Protons side med erhvervsressourcer til cybersikkerhed.

Hold Deres virksomhed forberedt

At vide, hvordan man indgiver en rapport om databrud i Storbritannien, er afgørende for virksomhedens overholdelse af regler, tillid og overlevelse. Forskellen mellem en ødelæggende katastrofe og en administreret hændelse koger ofte ned til forberedelse, kommunikation og brug af den rette blanding af mennesker, processer og sikre teknologier.

At opbygge klare interne arbejdsgange, øve hændelsesøvelser samt at prioritere sikre værktøjer som Proton Pass for Business, er kraftfulde handlinger, der hjælper med at overholde rapporteringsfrister eller undgå bøder. Desuden styrker disse gode praksisser styringen på alle niveauer, opbygger ansvarlighed og forsikrer både Deres kunder og ICO om, at De mener det alvorligt med at gøre det rette, selv i vanskelige øjeblikke.

Hvis De ønsker at være et skridt foran, kan De få mere at vide om Protons mission for digital frihed og se, hvordan privacy-first-værktøjer kan hjælpe Deres virksomhed. Vi inviterer Dem til at udforske vores løsninger til virksomheder og blive en del af en bevægelse, der sætter mennesker — ikke kun profit — i centrum for cybersikkerhed.

Ofte stillede spørgsmål om databrud i Storbritannien

Hvad er et databrud i Storbritannien?

Et databrud i Storbritannien er enhver hændelse, hvor personoplysninger mistes, afsløres, ændres eller uautoriserede får adgang til dem, uanset om dette sker ved et uheld, et cyberangreb eller skødesløshed. Det har betydning, hvis der er en risiko for personers rettigheder eller friheder: Dette er tærsklen for at afgøre, om De skal rapportere bruddet til Information Commissioner’s Office (ICO).

Hvordan rapporterer jeg et databrud til ICO?

De skal bruge ICO’s online rapporteringsformular og levere vigtige detaljer om databruddet: hvad der skete, hvornår, hvor mange personer og optegnelser der er involveret, og hvilke skridt De har taget eller planlægger at tage for at begrænse konsekvenserne. Organisationens databeskyttelsesrådgiver eller en anden ansvarlig embedsmand bør normalt indsende rapporten inden for 72 timer efter opdagelsen (24 timer for organisationer, der fungerer som tillidstjenesteudbydere under UK eIDAS).

Hvornår skal jeg underrette ICO om et brud?

De bør underrette ICO så hurtigt som muligt og senest 72 timer efter at være blevet opmærksom på bruddet, hvis hændelsen sandsynligvis vil sætte personers rettigheder og friheder i fare. Manglende overholdelse af denne frist kan resultere i yderligere lovmæssige sanktioner og tab af offentlighedens tillid.

Hvilke oplysninger er nødvendige for at rapportere et brud?

ICO beder om en fuld beskrivelse af bruddet, tidspunkt og dato for opdagelsen, arten og mængden af de berørte personoplysninger, antallet af berørte personer eller optegnelser, hvilken skade der kan opstå, og handlinger der er truffet for at inddæmme bruddet. Der anmodes også om et kontaktpunkt til opfølgning. Hvis alle oplysninger ikke er tilgængelige inden for 72 timer, bør De indsende rapporten alligevel og opdatere ICO senere, når De har flere detaljer.

Skal alle databrud rapporteres til ICO?

Nej, ikke ethvert databrud er rapporteringspligtigt. De skal kun rapportere de hændelser, hvor personoplysninger er involveret, og hvor der er en reel risiko for personers rettigheder eller frihedsrettigheder. Dog skal selv ikke-rapporteringspligtige databrud lægges i en log internt, i tilfælde af at ICO gennemgår Deres optegnelser i fremtiden.