מועצת הרשויות הלאומיות להגנת מידע במדינות האיחוד האירופי אימצה טיוטת תבנית משותפת ואחידה להודעות על אירועי אבטחה (Personal Data Breach), והכריזה עליה כצעד משמעותי שנועד לפשט את תהליכי הציות ל-GDPR ברחבי האיחוד האירופי. המהלך הוצג במהלך ישיבת מליאה של המועצה עם נציב האיחוד האירופי כחלק מאסטרטגיה רחבה להפיכת הציות לקל ועקבי יותר ולחיזוק שיתוף הפעולה הרגולטורי.

התבנית החדשה גובשה במטרה לסייע לארגונים ולרשויות להגנת מידע לאחד את תהליכי הדיווח שלהם. היא מבטיחה כי ההודעות יכילו את כל המידע הנדרש על פי סעיף 33 ל-GDPR ובכך מקלה על ארגונים להגיש דיווחים בזמן ומאפשרת לרשויות להעריך את המקרים ביעילות רבה יותר. יתרון מרכזי של היוזמה הוא חיסכון בזמן ובעלויות, במיוחד עבור ארגונים קטנים ובינוניים (SMEs) שחסרים משאבים משפטיים או קציני הגנת מידע (DPO) ייעודיים.

על פי התבנית שאומצה, הדיווח מחולק למספר פרקים מפורטים הדורשים מידע על מהות האירוע והשפעתו. הארגונים נדרשים לציין את סוג ההודעה (חדשה, עדכון או ביטול דיווח קודם) ולספק פרטים על אופי האירוע, כגון פגיעה בסודיות, בשלמות או בזמינות הנתונים. התבנית כוללת רשימה מפורטת של סיבות אפשריות לאירוע, ביניהן מתקפות כופרה, פישינג, טעויות אנוש או הגדרות מערכת שגויות.

מעבר לתיאור הטכני, התבנית שמה דגש רב על הערכת הסיכונים לנושאי המידע, כמצוות ה-GDPR. על הארגונים לדווח על קטגוריות הנפגעים (כגון קטינים, מטופלים או עובדים), מספר הרשומות שנחשפו וסוג המידע (נתונים ביומטריים, מידע רפואי או פרטי תשלום). כמו כן, נדרש פירוט על אמצעי האבטחה שהיו קיימים בעת הפריצה, כגון הצפנה או אימות דו-שלבי (MFA) והצעדים שננקטו או מתוכננים להינקט כדי לצמצם נזקים ולמנוע הישנות של המקרה. במקרים של עיבוד נתונים חוצה גבולות, התבנית כוללת פרק ייעודי לזיהוי המדינות המושפעות והרשויות המפקחות הרלוונטיות.

תבנית פתוחה כעת להערות הציבור עד ה-5 באוגוסט 2026, ולאחר מכן תחליט המועצה על לוח הזמנים ליישומה המעשי על ידי כל רשויות הגנת המידע באיחוד.