Fristen starter i det øyeblikket virksomheten blir oppmerksom på bruddet. Dette inkluderer meldinger fra ansatte, kunder eller varsler fra IT-systemer. Helg og helligdager stopper ikke klokken; beredskapen må være operativ 24/7.

Lav risiko krever kun intern loggføring. Risiko utløser meldeplikt til Datatilsynet innen 72 timer. Høy risiko utløser i tillegg en plikt til å varsle de berørte personene direkte (Art. 34). Kalkulatoren skiller mellom disse tersklene automatisk.

Ja. 72-timersfristen er absolutt. Dersom undersøkelsene ikke er ferdige, skal du sende en foreløpig melding til Datatilsynet. Ikke vent på alle svar; meld det dere vet innen fristen.

Ved alvorlige brudd kan Datatilsynet ilegge gebyrer på opptil 20 millioner euro, eller 4 % av global årsomsetning. Manglende overholdelse av frister eller mangelfull loggføring kan i seg selv utløse store sanksjoner.

Dersom dataene er kryptert med moderne standard og nøkkelen ikke er på avveie, anses risikoen som eliminert. Melding er da normalt ikke nødvendig, men hendelsen skal loggføres internt som et avvik.

Risikoscoren er en vektet beregning som ser på kombinasjonen av datakategoriens følsomhet og sannsynligheten for skade. Fargekodene gir en umiddelbar indikasjon på om saken krever ekstern rapportering.

GDPR legger stor vekt på maktbalansen. Brudd som rammer ansatte, barn eller pasienter anses som mer alvorlige fordi disse gruppene er i et avhengighetsforhold til bedriften.

Ved å lagre analysen fra kalkulatoren i avviksloggen, dokumenterer dere at ledelsen har foretatt en saklig og metodisk risikovurdering. Dette er kritisk for å oppfylle kravet til ansvarlighet (Accountability) ved et senere tilsyn.

Analysen bør gjøres av de med best innsikt i hendelsen, gjerne i samråd mellom IT-ansvarlig, HR-leder og eventuelt personvernombud (DPO).