Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
I et videoforedrag lenger ned i artikkelen, forklarer vi hvordan virksomhetene har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør et brudd på personopplysningssikkerheten etter personvernforordningen.
Et brudd på personopplysningssikkerheten består av tre elementer:
Et sikkerhetsbrudd kan være både angrep utenfra og brudd på sikkerhetsprinsippene som skjer internt i virksomheten, for eksempel på grunn av menneskelig svikt som feilsendt e-post.
Sikkerhetsbruddet må føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.
Et brudd på personopplysningssikkerheten kan kategoriseres i:
Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.
Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet.
Les mer om hvilke brudd som skal meldes
I foredraget forklarer vi hvordan virksomheter har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de er brudd på personopplysningssikkerheten etter personvernforordningen. Vi forklarer hva som faktisk utgjør et brudd, hva Datatilsynet ser på som skjerpende forhold og kommer med forslag til ulike tiltak virksomheten kan iverksette dersom det har skjedd brudd.
Vi går også gjennom meldeplikten til Datatilsynet, varsling til de berørte ved høy risiko, samt hvilke unntak som kan gjelde.