Efter offentlig høring vedtog EDPB en endelig version af retningslinjerne om eksempler på anmeldelser om databrud. Disse retningslinjer supplerer artikel 29-gruppens vejledning om anmeldelse af databrud ved at indføre mere praksisorienteret vejledning og anbefalinger. De har til formål at hjælpe dataansvarlige med at reagere, hvis der sker brud på persondatasikkerheden samt med overholdelse af deres underretningsforpligtelser i henhold til GDPR.

Brud på persondatasikkerheden bør anmeldes, når den dataansvarlige vurderer, at der er sandsynlighed for, at bruddet vil medføre en risiko for den registreredes rettigheder eller frihedsrettigheder. Retningslinjerne indeholder eksempler på casestudier, der hjælper dataansvarlige og databehandlere med at foretage en risikovurdering, når de bliver bekendte med sikkerhedsbruddet.

Casestudierne omfatter hændelser, der involverer ransomware-angreb, dataeksfiltreringsangreb, menneskelige fejl samt mistede enheder og dokumenter. Casestudierne og de anbefalede handlingspunkter er baseret på erfaringer fra forskellige EØS-tilsynsmyndigheder efter at have konstateret et stigende antal cyberangreb og andre databrudshændelser.