I 2023 har man kunnet lese om flere personvernbrudd i media som har ført til uheldige konsekvenser. Bekymringsmeldinger til barnevernet i potensielt over 200 kommuner har kommet på avveie på grunn av teknisk feil, Tomra ble utsatt for et omfattende nettangrep som påvirket flere av selskapets datasystemer og som var ressurskrevende å håndtere, manglende informasjonssikkerhet førte til varsel om gebyr og pålegg til NAV, og 12 norske departementer ble kompromittert gjennom bruk av såkalte nulldagssårbarheter.
Vi erfarer at virksomheter ikke bare har utfordringer med å iverksette gode organisatoriske og tekniske tiltak som kan forhindre et personvernbrudd, men også med å identifisere og håndtere et oppstått personvernbrudd.
Personvernforordningen (GDPR) definerer et brudd på personopplysningssikkerheten i artikkel 4 nr. 12 som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Definisjonen dekker mange ulike typer brudd, for eksempel:
Det kan være flere grunner til at et slik brudd skjer. I noen tilfeller er kilden eksterne trusselaktører som stadig blir dyktigere på å utnytte både systemers og enkeltmenneskers sårbarheter. I andre tilfeller oppstår feil internt i virksomheten, enten menneskelig svikt eller i systemer, som fører til at interne retningslinjer brytes. Datatilsynet påpeker i sin årsrapport for 2022 at antall meldinger om brudd på personopplysningssikkerheten fra virksomheten har økt, og at vanligste årsak til bruddene er feilsendinger og feilpubliseringer av personopplysninger. Manglende rutiner for tilgangsstyring er også en utfordring.
Dersom man er usikker på om en oppstått situasjon er et brudd på personopplysningssikkerheten, kan et eventuelt personvernombud være en viktig sparringspartner.
Dersom virksomheten din opplever et brudd på personopplysningssikkerheten, må det vurderes om bruddet skal meldes til Datatilsynet og de registrerte etter GDPR artiklene 33 og 34.
Som hovedregel skal Datatilsynet få melding dersom det skjer et brudd på personopplysningssikkerheten. Den behandlingsansvarlige virksomheten er ansvarlig for å melde bruddet, og det skal som hovedregel skje innen 72 timer etter at bruddet ble oppdaget. Dersom virksomheten har et personvernombud, bør dette også varsles om bruddet.
I tillegg skal de registrerte få melding om bruddet uten ugrunnet opphold dersom det er sannsynlig at bruddet medfører høy risiko for de registrertes rettigheter og friheter, for eksempel fysisk eller materiell skade, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper. Formålet med meldingen er å sikre at de berørte registrerte kan iverksette tiltak for å beskytte seg selv.
GDPR oppstiller krav om hva slags informasjon meldingen til Datatilsynet bør inneholde, blant annet hovedårsaken til bruddet, antall berørte registrerte, varigheten av bruddet og mulige faktiske konsekvenser. Dersom man når meldingen gis ikke har fullstendig oversikt over bruddet, kan informasjon gis i etapper.
Datatilsynet anbefaler å rapportere inn personvernbrudd i Altinn. Virksomheten kan melde via e-post eller brevpost. Sensitiv informasjon må krypteres hvis det skal sendes på epost til Datatilsynet.
Melding til Datatilsynet kan unntas dersom bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Behandlingsansvarlig må altså gjennomføre en konkret risikovurdering, og må dokumentere at unntaket kommer til anvendelse. Eksempler på momenter i vurderingen er om den registrerte mister kontroll over egne personopplysninger, får skadet sitt omdømme, blir utsatt for forskjellsbehandling, identitetstyveri eller -bedrageri, påføres økonomisk tap, eller mister fortrolighet om taushetsbelagte personopplysninger.
God kommunikasjon mellom databehandler og behandlingsansvarlig er en viktig faktor for å redusere risikoen for alvorlige konsekvenser av personvernbruddet.
Virksomheter som er databehandler, skal varsle den behandlingsansvarlige umiddelbart når personvernbruddet oppdages. Hvordan personvernbruddene skal rapporteres til den behandlingsansvarlige bør spesifiseres i databehandleravtalen.
En databehandler kan melde personvernbruddet til Datatilsynet direkte hvis behandlingsansvarlig har gitt databehandler fullmakt og databehandleravtalen åpner for dette. Det er imidlertid viktig å merke seg at den behandlingsansvarlige ikke kan avtale seg bort fra ansvaret for å melde avvik i artikkel 33 og 34, og fremdeles vil kunne bli ilagt sanksjoner for feil som gjøres av databehandler.
For å sikre en trygg og effektiv håndtering av brudd på personopplysningssikkerheten, er det flere tiltak din virksomhet bør implementere:
Vi kan bistå!
Deloitte advokatfirma har utstrakt erfaring med personvernregelverket, og kan bistå både med gjennomgang og utarbeidelse av internkontroll, sikre hensiktsmessig ansvarsplassering, vurdere roller etter GDPR, og vurdere og håndtere et brudd på personopplysningssikkerheten. I tillegg har Deloitte et sterkt team på Cyber som kan bistå med håndtering av cyberangrep.