Gå til hovedinnhold

Identifisering og håndtering av et personvernbrudd

Et personvernbrudd kan få svært negative konsekvenser for virksomheter og enkeltpersoner. Identifisering og rask håndtering av bruddet er essensielt for å minimere konsekvensene og unngå sanksjoner fra Datatilsynet. Hvordan kan din virksomhet sikre en trygg og effektiv håndtering av brudd på personopplysningssikkerheten?

I 2023 har man kunnet lese om flere personvernbrudd i media som har ført til uheldige konsekvenser. Bekymringsmeldinger til barnevernet i potensielt over 200 kommuner har kommet på avveie på grunn av teknisk feil, Tomra ble utsatt for et omfattende nettangrep som påvirket flere av selskapets datasystemer og som var ressurskrevende å håndtere, manglende informasjonssikkerhet førte til varsel om gebyr og pålegg til NAV, og 12 norske departementer ble kompromittert gjennom bruk av såkalte nulldagssårbarheter. 

Vi erfarer at virksomheter ikke bare har utfordringer med å iverksette gode organisatoriske og tekniske tiltak som kan forhindre et personvernbrudd, men også med å identifisere og håndtere et oppstått personvernbrudd.

Brudd på personopplysningssikkerheten


Personvernforordningen (GDPR) definerer et brudd på personopplysningssikkerheten i artikkel 4 nr. 12 som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet». 

Definisjonen dekker mange ulike typer brudd, for eksempel:

  • Hackere utnytter tekniske sårbarheter og hacker seg inn i virksomheters systemer slik at personopplysninger kommer på avveie
  • Personopplysninger tilgjengeliggjøres til flere personer enn nødvendig
  • En ansatt mister en konvolutt med saksdokumenter i offentligheten 
  • Personopplysninger sendes per post eller e-post til feil mottaker
  • Brudd på interne retningslinjer om personvern eller informasjonssikkerhet

Det kan være flere grunner til at et slik brudd skjer. I noen tilfeller er kilden eksterne trusselaktører som stadig blir dyktigere på å utnytte både systemers og enkeltmenneskers sårbarheter. I andre tilfeller oppstår feil internt i virksomheten, enten menneskelig svikt eller i systemer, som fører til at interne retningslinjer brytes. Datatilsynet påpeker i sin årsrapport for 2022 at antall meldinger om brudd på personopplysningssikkerheten fra virksomheten har økt, og at vanligste årsak til bruddene er feilsendinger og feilpubliseringer av personopplysninger. Manglende rutiner for tilgangsstyring er også en utfordring. 

Dersom man er usikker på om en oppstått situasjon er et brudd på personopplysningssikkerheten, kan et eventuelt personvernombud være en viktig sparringspartner. 

Melding til Datatilsynet og til de registrerte


Dersom virksomheten din opplever et brudd på personopplysningssikkerheten, må det vurderes om bruddet skal meldes til Datatilsynet og de registrerte etter GDPR artiklene 33 og 34. 

Som hovedregel skal Datatilsynet få melding dersom det skjer et brudd på personopplysningssikkerheten. Den behandlingsansvarlige virksomheten er ansvarlig for å melde bruddet, og det skal som hovedregel skje innen 72 timer etter at bruddet ble oppdaget. Dersom virksomheten har et personvernombud, bør dette også varsles om bruddet.

I tillegg skal de registrerte få melding om bruddet uten ugrunnet opphold dersom det er sannsynlig at bruddet medfører høy risiko for de registrertes rettigheter og friheter, for eksempel fysisk eller materiell skade, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper. Formålet med meldingen er å sikre at de berørte registrerte kan iverksette tiltak for å beskytte seg selv. 

GDPR oppstiller krav om hva slags informasjon meldingen til Datatilsynet bør inneholde, blant annet hovedårsaken til bruddet, antall berørte registrerte, varigheten av bruddet og mulige faktiske konsekvenser. Dersom man når meldingen gis ikke har fullstendig oversikt over bruddet, kan informasjon gis i etapper.

Datatilsynet anbefaler å rapportere inn personvernbrudd i Altinn. Virksomheten kan melde via e-post eller brevpost. Sensitiv informasjon må krypteres hvis det skal sendes på epost til Datatilsynet. 

Melding til Datatilsynet kan unntas dersom bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Behandlingsansvarlig må altså gjennomføre en konkret risikovurdering, og må dokumentere at unntaket kommer til anvendelse. Eksempler på momenter i vurderingen er om den registrerte mister kontroll over egne personopplysninger, får skadet sitt omdømme, blir utsatt for forskjellsbehandling, identitetstyveri eller -bedrageri, påføres økonomisk tap, eller mister fortrolighet om taushetsbelagte personopplysninger. 

Databehandlers plikt til å varsle


God kommunikasjon mellom databehandler og behandlingsansvarlig er en viktig faktor for å redusere risikoen for alvorlige konsekvenser av personvernbruddet. 

Virksomheter som er databehandler, skal varsle den behandlingsansvarlige umiddelbart når personvernbruddet oppdages. Hvordan personvernbruddene skal rapporteres til den behandlingsansvarlige bør spesifiseres i databehandleravtalen. 

En databehandler kan melde personvernbruddet til Datatilsynet direkte hvis behandlingsansvarlig har gitt databehandler fullmakt og databehandleravtalen åpner for dette. Det er imidlertid viktig å merke seg at den behandlingsansvarlige ikke kan avtale seg bort fra ansvaret for å melde avvik i artikkel 33 og 34, og fremdeles vil kunne bli ilagt sanksjoner for feil som gjøres av databehandler. 

Hvordan sikre en trygg og effektiv håndtering av brudd på personopplysningssikkerheten?


For å sikre en trygg og effektiv håndtering av brudd på personopplysningssikkerheten, er det flere tiltak din virksomhet bør implementere:

  1. Ha internkontroll på plass og rutiner for håndtering av personvernbrudd Hvis internkontroll allerede er på plass, må du sørge for at den er godt implementert i virksomheten. Internkontrollen må være godt kjent i virksomheten, forståelig med et språk som er tilpasset mottaker, og ligge lett tilgjengelig for de ansatte. Dersom virksomheten din ikke har på plass en internkontroll anbefaler vi å utarbeide dette så fort som mulig. Interkontrollen bør bestå av en styrende, gjennomførende og kontrollerende del, inkludert en tydelig ansvarsplassering. Den gjennomførende delen bør omfatte en rutine for personvernbrudd.
  2. Kartlegg all behandling av personopplysninger i virksomheten
    Du må ha oversikt over all behandling av personopplysninger i virksomheten. De aller fleste virksomheter er forpliktet til å ha på plass en behandlingsprotokoll etter GDPR artikkel 30. Denne oversikten er essensiell for å oppfylle de øvrige forpliktelsene i GDPR, for eksempel kravet om lovlighet, formålsbegrensning, dataminimering og informasjonssikkerhet. Som del av behandlingsprotokollen bør virksomhetens ulike databehandlere kartlegges og det er fordelaktig at det lenkes til databehandleravtalene.
  3. Identifiser roller etter GDPR
    Når er virksomheten din behandlingsansvarlig og eventuelt en databehandler?Dette er viktig å ha på plass før et eventuelt brudd oppstår. Rollene påvirker hvem som faktisk skal melde bruddet. Usikkerhet her kan føre til at fristen for å melde bruddet utløper og at man ikke får iverksatt tiltak raskt nok slik at bruddets konsekvenser blir større enn nødvendig. 
  4. Sikre god informasjonssikkerhet
    Du må følge kravene i GDPR artikkel 32 og gjennomføre egnede organisatoriske og tekniske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til identifisert risiko for de registrerte. Dette fordrer en oversikt over all behandling av personopplysninger som nevnt i punkt 2. Som eksempler på tiltak kan nevnes interne rutiner (se punkt 1 om internkontroll), tilgangsstyring, multifaktorautentisering og kryptering. Se videre vår artikkel om phishing fra 2020 hvor både preventive og reaktive tiltak beskrives: Phishing - Hvordan skal din virksomhet håndtere et angrep? (deloitte.com) 
  5. Gi opplæring til de ansatte
    Opplæring i personvern og informasjonssikkerhet for de ansatte er viktig for å sikre kunnskap om hva et personvernbrudd er, hvordan det kan identifiseres og når, og til hvem, det skal varsles. Potensiell skade kan unngås dersom de ansatte raskt kan identifisere et personvernbrudd og melde nærmeste leder og/eller personvernombud.
  6. Øv på håndtering av personvernbrudd
    En øvelse som omfatter personvernbrudd, kan hjelpe virksomheten å forberede seg på virkelige brudd. Dette kan redusere respons- og gjenopprettingstid når et reelt brudd skjer. Øvelsen kan avsløre svakheter i eksisterende rutiner, slik at disse kan forbedres før et reelt brudd finner sted.

Vi kan bistå! 
Deloitte advokatfirma har utstrakt erfaring med personvernregelverket, og kan bistå både med gjennomgang og utarbeidelse av internkontroll, sikre hensiktsmessig ansvarsplassering, vurdere roller etter GDPR, og vurdere og håndtere et brudd på personopplysningssikkerheten. I tillegg har Deloitte et sterkt team på Cyber som kan bistå med håndtering av cyberangrep. 

Var dette nyttig?

Takk for din tilbakemelding