Nye krav til avvikshåndtering og informasjon til de berørte

Med de nye reglene som trer i kraft i mai 2018 skal mange flere sikkerhetsbrudd eller hendelser rapporteres.

I dagens regelverk stilles det krav til at avvik eller sikkerhetsbrudd skal håndteres internt i virksomheten. Datatilsynet skal varsles dersom det har vært en «uautorisert utlevering av personopplysninger som krever konfidensialitet» (personopplysningsforskriften § 2-6). Per i dag er det stort sett saker der det har vært en utlevering av konfidensielle personopplysninger som rapporteres.

Et sikkerhetsbrudd defineres som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Strengere krav til varsling

Fra 2018 blir det strengere krav til når avvik skal rapporteres til Datatilsynet. Den behandlingsansvarlige får frist på å melde fra om sikkerhetsbrudd innen 72 timer etter at den har fått kjennskap til bruddet. Det er også et nytt krav at databehandlere umiddelbart skal varsle behandlingsansvarlige dersom de oppdager et avvik. Dersom virksomheten ikke har full oversikt over sikkerhetsbruddet, kan avviksmeldingen sendes inn trinnvis. Avvikshåndteringen skal dokumenteres også hos virksomheten.

Det stilles i tillegg krav til hva avviksmeldingen til Datatilsynet skal inneholde. Innlevering av avviksmeldinger gjøres digitalt eller per post. Vårt digitale skjemaet tar høyde for kravene til innhold som gjelder fra 2018.

Kravene knyttet til avvik finner du i artikkel 33, mens definisjonen på et sikkerhetsbrudd står i artikkel 4.

Varsling av de berørte

Forordningen gir regler for når de som er berørt av et sikkerhetsbrudd skal varsles og hva det skal inneholde. Varsling skal skje når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt. Varsel skal gis så fort som mulig. Det skal ha et klart og forståelig språk tilpasset leserens nivå.

Varselet skal som et minimum inneholde:

  1. en beskrivelse av avvikets natur
  2. kontaktinformasjon til personvernombudet eller annet kontaktpunkt i virksomheten
  3. en beskrivelse av mulige konsekvenser av avviket
  4. en beskrivelse av tiltak som er (planlagt) iverksatt for å lukke avviket og begrense konsekvensene

Virksomheten kan imidlertid la være å varsle de berørte under følgende vilkår:

  1. Dersom det er iverksatt beskyttelsestiltak for personopplysningene som er omfattet av sikkerhetsbruddet, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering.
  2. Dersom det er iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell.
  3. Hvis det er uforholdsmessig vanskelig å varsle hver enkelt av de berørte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de berørte likevel underrettes på en effektiv måte.

Regler for innhold i informasjon til de berørte er gitt i forordningens artikkel 34.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Hva blir nytt i 2018 - en oppsummering

Vi har laget en liste med punkter som oppsummerer hva som blir nytt når de nye personvernreglene trer i kraft i mai 2018, samt hva virksomhetene bør gjøre nå. Last den ned og les den sammen med veiledningen "Hva betyr de nye personvernreglene for din virksomhet?"

Hva blir nytt i 2018 - en oppsummering