Hva er et brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

I et videoforedrag lenger ned i artikkelen, forklarer vi hvordan virksomhetene har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør et brudd på personopplysningssikkerheten etter personvernforordningen. 

Et brudd på personopplysningssikkerheten består av tre elementer:

  1. Et sikkerhetsbrudd
  2. Sikkerhetsbruddet fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang (årsakssammenheng)
  3. Sikkerhetsbruddet berører personopplysninger

Et sikkerhetsbrudd kan være både angrep utenfra og brudd på sikkerhetsprinsippene som skjer internt i virksomheten, for eksempel på grunn av menneskelig svikt som feilsendt e-post.

Sikkerhetsbruddet må føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.

Et brudd på personopplysningssikkerheten kan kategoriseres i:

  1. Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
  2. Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
  3. Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller sletting av, personopplysninger.

Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.

Meldeplikt

Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet.

Les mer om hvilke brudd som skal meldes

 

Video: Når utgjør en sikkerhetshendelse et brudd på personopplysningssikkerheten?

Foredraget forklarer hvordan virksomhetene har plikt til å risikovurdere sikkerhetshendelser og avgjøre om de utgjør brudd på personopplysningssikkerheten etter personvernforordningen. 

Vi går videre gjennom meldeplikten til Datatilsynet, varsling av berørte ved høy risiko, samt hvordan varsling kan skje og unntak som kan gjelde. Vi forklarer også hva som faktisk utgjør et brudd, hva vi ser på som skjerpende forhold og kommer med forslag til ulike tiltak virksomheten kan iverksette ved brudd.