Alle får nye krav til avvikshåndtering

Etter dagens regelverk skal virksomheter melde fra til Datatilsynet dersom konfidensielle personopplysninger har kommet på avveier. Kravene til håndtering av sikkerhetsbrudd skjerpes når forordningen trer i kraft.

Når skal dere melde avvik til Datatilsynet?

Hovedregelen i forordningen er at alle avvik som skyldes brudd på datasikkerhetenskal meldes til Datatilsynet. Unntak fra dette gjelder hvis det er usannsynlig at avviket medfører en risiko for enkeltpersoners rettigheter eller personvern.

Det stilles samtidig krav til at avviksmeldingen skal leveres til oss innen 72 timer. Dersom virksomheten ikke har full oversikt over avviket, kan de sende avviksmeldingen trinnvis.

Virksomheten må ha dokumentasjon på alle avvik og hvilke tiltak som er iverksatt. Formålet er at vi skal kunne kontrollere at reglene om avviksvarsling følges.

Reglene for når avvik skal meldes står i forordningens artikkel 33.

Innhold i avviksmeldingen

Etter de nye reglene skal en avviksmelding som et minimum inneholde:

  1. en beskrivelse av avviket, hva slags personer og personopplysninger som er berørt
  2. et anslag på hvor mange personer og oppføringer av personopplysninger som er berørt av sikkerhetsbruddet
  3. kontaktinformasjon til personvernombudet eller et annet kontaktpunkt i virksomheten
  4. en beskrivelse av hvilke konsekvenser avviket trolig vil ha
  5. en beskrivelse av de tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene av det

Disse reglene følger av forordningen artikkel 33.

Varsling av de berørte

Forordningen gir regler for når de som er berørt av et brudd på datasikkerheten skal varsles. Slik varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. Virksomheten kan imidlertid la være å varsle de berørte på visse vilkår.

  • Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  • Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
  • Hvis et er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skalinformasjonen isteden offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Varsel skal gis uten opphold. Det skal ha et klart og forståelig språk og som et minimum inneholde:

  1. en beskrivelse av avvikets natur
  2. kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  3. en beskrivelse av mulige konsekvenser av avviket
  4. en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

Regler for hva avviksvarsler skal inneholde er gitt i forordningens artikkel 34.