Datatilsynets kontroll og håndheving av regelverket i krisetid

Personvernregelverket er fleksibelt og åpner for å kunne ta hensyn til det ekstraordinære. Datatilsynet vil derfor ha forståelse for at personvernregelverket ikke praktiseres like strengt i spesielle eller kritiske omstendigheter. Vi må alle vise smidighet i den situasjonen vi står i. Dette er også i tråd med Det europeiske personvernrådets budskap.

Vi har opprettet en egen temaside om korona og personvern. Her oppdaterer vi fortløpende om problemstillinger knyttet til personvern og koronakrisen. Vi anbefaler dere å følge med der.

Risikovurderinger

Mange opplever for tiden situasjoner der det er ønskelig å ta i bruk løsninger som ikke er tilstrekkelig risikovurdert, for eksempel kommunkasjonsløsninger mellom helsetjenesten og pasienter. 

Vi oppfordrer dere som arbeider med informasjonssikkerhet og personvernom­budene i ulike virksomheter om å samarbeide aktivt med hverandre og dele erfaringer og dokumen­tasjon på ulike typer kommunikasjonsverktøy og tjenester som tas i bruk. Del gjerne de risikovurderingene som er gjort.

I de tilfellene det er ønske om å ta i bruk løsninger som ikke er tilstrekkelig risikovurdert, gir vi følgende råd:

1. Begrens «snarveiene» til de tilfellene som faktisk er akutte
   Eventuelle valg om å bruke løsninger som det ikke er gjort tilstrekkelige risiko- og personvernkonsekvensvurderinger av, og som dere dermed ikke kan garantere for sikkerheten til, kan bare forsvares i de tilfellene som oppstår som følge av en akutt situasjon. Formålene dere ønsker å oppnå må derfor tydelig defineres og avgrenses, og behandlingen av opplysninger i usikre løsninger må være tett knyttet til det akutte behovet som har oppstått som følge av pandemien.
   
   
2. Lytt til erfarne (og myndighetene)
   Enkelte løsninger er allerede tatt i bruk i forskjellige deler av offentlig sektor og helsetjenesten. Spør om innsyn i andres gjennomførte risikovurderinger for å vurdere gjenbruk.
   
   
3. Dokumenter så godt som mulig
   Vi anbefaler at de vurderingene dere gjør blir dokumentert så godt som mulig. I de tilfellene det blir valgt løsninger i akuttsituasjoner, bør også disse vurderingene dokumenteres for blant annet etterkontroll.
   
   
4. Gjenopprett normaltilstand når unntakstilstanden er over
   Det kan ikke etableres varige og permanente løsninger uten at de blir tilstrekkelig vurdert når den akutte situasjonen er over og ressursene tillater det. Risikovurderingene må gjentas når forholdene er endret, og det ikke lenger er andre og viktigere hensyn som tillegges avgjørende vekt på bekostning av informasjonssikkerhet.
   
   
5. Evaluer situasjonen, tiltakene og behovene dere bør ha dekket til en eventuell neste gang
   Alle som behandler personopplysninger bør ha metoder og løsninger som er robuste og som tåler uforutsette hendelser. Vi oppfordrer enhver som behandler opplysninger, og særskilt de som har måttet velge løsninger som ikke har vært tilstrekkelig risikovurdert, om å gjennomgå erfaringene og i størst mulig grad sikre at ikke lignende situasjoner oppstår i fremtiden.

Avviksmeldinger og frister

I følge personvernforordningen artikkel 33 skal det sendes melding til Datatilsynet om brudd på personopplysningssikkerheten (avviksmelding) «med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter». Dette innebærer en lav terskel for når avviksmelding skal sendes. Vi vil imidlertid vise skjønn i denne perioden:

• Vi har forståelse for at terskelen for å sende melding til oss heves noe slik situasjonen er nå. Det kan for eksempel gjelde ved enkeltstående feilutsendelser av brev som ikke inneholder sensitive (særlige kategorier) av personopplysninger. Den behandlingsansvarlige kan i stedet samle opp og sende dem inn samlet til oss for en tidsperiode.
• Vi kommer ikke til å påpeke brudd på 72-timersfristen dersom grunnen som oppgis for forsinkelse er koronakrisen. Dersom det dreier seg om hendelser som potensielt kan ha alvorlige konsekvenser for individers rettigheter og friheter, er det likevel viktig at dere søker rask kontakt med oss.
• Selv om avviksmeldingen ikke blir sendt innen 72 timer til Datatilsynet, er det fortsatt viktig at hendelsen blir fulgt opp internt. De berørte må selvsagt også varsles så snart som mulig dersom bruddet kan innebære en høy risiko for deres rettigheter og friheter.

Andre plikter

• Vi vil vise forståelse for at flere kan ha utfordringer med å overholde også andre frister som følger av regelverket. Det gjelder både for oppfølging av Datatilsynets saksbehandling, og klager fra publikum om deres rettigheter slik som innsyn og dataportabilitet.
• Når for eksempel statlige etater og kommuner tar i bruk løsninger som innebærer at andre virksomheter behandler personopplysninger på deres vegne, skal det inngås databehandleravtale før løsningene tas i bruk. Selv om personvernforordningen ikke gir noen unntak for dette kravet, vil vi utvise forståelse for at dette ikke alltid kan bli gjort grundig nok før behandlingen av personopplysninger tar til. Vi forutsetter imidlertid at de behandlingsansvarlige studerer de vilkårene som leverandørene stiller, og dokumenterer de vurderingene som blir gjort om å ta i bruk løsningen uten at databehandleravtale er inngått.
  
  

Tiden etter krisen

Datatilsynet har begynt kartleggingen av tiltak vi vil følge opp etter at viruset har rast fra seg. Det kan også bli aktuelt å ta opp enkeltsaker og gjennomføre tilsyn for å sjekke om et tiltak som for eksempel innebærer at data skal slettes etter 30 dager, faktisk er gjennomført.

Vi ønsker alle lykke til i en krevende tid!