Datatilsynets kontroll og håndheving av regelverket i krisetid

Retten til personvern er en menneskerettighet som skal gi individet beskyttelse mot vilkårlige inngrep. Også i krisetider. Samtidig har virksomhetene plikt til å sikre personopplysninger på en forsvarlig måte. Hvordan vil Datatilsynet kontrollere og håndheve regelverket i en krisetid?

Personvernregelverket er fleksibelt og åpner for å kunne ta hensyn til det ekstraordinære. Datatilsynet vil derfor ha forståelse for at personvernregelverket ikke kan praktiseres like strengt i helt spesielle eller kritiske omstendigheter, slik som tilfellet var for eksempel under koronapandemien (noe som også var i tråd med Personvernrådets budskap).

Risikovurderinger

Under koronapandemien var det blant annet mange som opplevde situasjoner der det var ønskelig å ta i bruk løsninger som ikke var tilstrekkelig risikovurdert, slik som kommunkasjonsløsninger mellom helsetjenesten og pasienter. 

I slike ekstraordinære situasjoner oppfordrer vi de som arbeider med informasjonssikkerhet og personvernom­budene i ulike virksomheter om å samarbeide aktivt med hverandre og dele erfaringer og dokumen­tasjon på ulike typer kommunikasjonsverktøy og tjenester som tas i bruk.

I de tilfellene det er behov for å ta i bruk løsninger som ikke er tilstrekkelig risikovurdert, har vi følgende oppfordringer:

  1. Begrens «snarveiene» til de tilfellene som faktisk er akutte
    Eventuelle valg om å bruke løsninger som det ikke er gjort tilstrekkelige risiko- og personvernkonsekvensvurderinger av, og som dere dermed ikke kan garantere for sikkerheten til, kan bare forsvares i de tilfellene som oppstår som følge av en akutt situasjon. Formålene dere ønsker å oppnå må derfor tydelig defineres og avgrenses, og behandlingen av opplysninger i usikre løsninger må være tett knyttet til det akutte behovet som har oppstått som følge av pandemien.

  2. Lytt til erfarne (og myndighetene)
    Enkelte løsninger er allerede tatt i bruk i forskjellige deler av offentlig sektor og helsetjenesten. Spør om innsyn i andres gjennomførte risikovurderinger for å vurdere gjenbruk.

  3. Dokumenter så godt som mulig
    Vi anbefaler at de vurderingene dere gjør blir dokumentert så godt som mulig. I de tilfellene det blir valgt løsninger i akuttsituasjoner, bør også disse vurderingene dokumenteres for blant annet etterkontroll.

  4. Gjenopprett normaltilstand når unntakstilstanden er over
    Det kan ikke etableres varige og permanente løsninger uten at de blir tilstrekkelig vurdert når den akutte situasjonen er over og ressursene tillater det. Risikovurderingene må gjentas når forholdene er endret, og det ikke lenger er andre og viktigere hensyn som tillegges avgjørende vekt på bekostning av informasjonssikkerhet.

  5. Evaluer situasjonen, tiltakene og behovene dere bør ha dekket til en eventuell neste gang
    Alle som behandler personopplysninger bør ha metoder og løsninger som er robuste og som tåler uforutsette hendelser. Vi oppfordrer enhver som behandler opplysninger, og særskilt de som har måttet velge løsninger som ikke har vært tilstrekkelig risikovurdert, om å gjennomgå erfaringene og i størst mulig grad sikre at ikke lignende situasjoner oppstår i fremtiden.

Avviksmeldinger og frister

I følge personvernforordningen artikkel 33 skal det sendes melding til Datatilsynet om brudd på personopplysningssikkerheten (avvik) «med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» innen 72 timer. Dette innebærer en lav terskel for når avviksmelding skal sendes. Vi vil imidlertid vise skjønn i helt spesielle krisesituasjoner.

Selv om avviksmeldingen ikke blir sendt oss innen fristen, er det fortsatt viktig at hendelsen blir fulgt opp internt. De berørte må selvsagt også varsles så snart som mulig dersom bruddet kan innebære en høy risiko for deres rettigheter og friheter.

Les mer om avvikshåndering