Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
I et videoforedrag lenger ned i artikkelen, forklarer vi hvordan virksomhetene har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør et brudd på personopplysningssikkerheten etter personvernforordningen.
Et brudd på personopplysningssikkerheten består av tre elementer:
Et sikkerhetsbrudd kan være både angrep utenfra og brudd på sikkerhetsprinsippene som skjer internt i virksomheten, for eksempel på grunn av menneskelig svikt som feilsendt e-post.
Sikkerhetsbruddet må føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.
Et brudd på personopplysningssikkerheten kan kategoriseres i:
Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.
Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet.
Les mer om hvilke brudd som skal meldes
Foredraget forklarer hvordan virksomhetene har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør brudd på personopplysningssikkerheten etter personvernforordningen.
Vi går videre gjennom meldeplikten til Datatilsynet, varsling av berørte ved høy risiko, samt hvordan varsling kan skje og unntak som kan gjelde. Vi forklarer også hva som faktisk utgjør et brudd, hva vi ser på som skjerpende forhold og kommer med forslag til ulike tiltak virksomheten kan iverksette ved brudd.