Håndtering av personvernet ved digitale angrep

Håndtering av personvernet ved digitale angrep

Alle virksomheter kan utsettes for digitale angrep. Motivasjonen og metoden bak angrepene varierer, sammen med alvorlighetsgraden av konsekvensene. Denne veiledningen beskriver noen vanlige hendelsestyper, og ser spesielt på hvordan personvernet kan håndteres når virksomheten er utsatt for et slikt angrep.

Innledning

Samtidig som det er en kontinuerlig fare for å bli utsatt for digitale angrep, kan virksomhetene være spesielt sårbare i perioder knyttet til høytider, ferieavvikling og tidspunkt der det er vanligere med bruk av vikarer og potensielt uerfarent personell. Det er derfor viktig å være bevisst på hvilken type bemanning og rutiner virksomheten har også i slike perioder.

Virksomhetens sårbarhet for digitale angrep, og hvor store konsekvensene av et slikt angrep kan være, avhenger også i stor grad av hvor god struktur virksomheten har på styringen av informasjonssikkerhet og personopplysningssikkerhet.
Les mer om etablering av internkontroll

I denne veiledningen ser vi nærmere på noen utvalgte hendelsestyper, og går gjennom hvilke vurderinger virksomheten bør gjøre knyttet til personvern spesielt når hendelsen faktisk har oppstått. Dette inkluderer å identifisere typen hendelse – noe som kan ha betydning for å vurdere hva virksomheten bør gjøre relatert til mulige brudd på personvernet.

Ved hendelser hvor mulige konsekvenser for personvernet er uklare, skal hovedprioriteringen være egen håndtering av hendelsen. Det innebærer at melding til Datatilsynet i en tidlig fase kan inneholde midlertidig og ufullstendig informasjon. Det er imidlertid viktig og lovpålagt å sørge for at denne første meldingen gis innen 72-timers fristen, og at meldingen følges opp med utfyllende informasjon når virksomheten har bedre oversikt over situasjonen.
Meld fra om brudd i personopplysningssikkerheten

Overordnet kan vi si at hendelser slik som tjenestenektangrep og direktørsvindel i mindre grad vil ha et potensiale for alvorlige brudd på personopplysningssikkerheten. Vellykkede phishing-, epost- og utpressingsangrep, har derimot en høy risiko for alvorlige brudd på personopplysningssikkerheten.