Logo og hjelpeverktøy

Hovedmeny

Hvilke brudd skal meldes til Datatilsynet?

Dersom det skjer et brudd på personopplysningssikkerheten, er hovedregelen at den behandlingsansvarlige skal melde alle bruddene til Datatilsynet.

Databehandleren skal i utgangspunktet kun melde til den behandlingsansvarlige, men kan under visse vilkår melde til Datatilsynet på vegne av den behandlingsansvarlige.

Les mer om hva et brudd på personopplysningssikkerheten er.

Bestemmelsene om meldeplikten finner dere i personvernforordningen artikkel 33 (lovdata.no)

Unntak fra meldeplikten

Når den behandlingsansvarlige opplever et brudd på personopplysningssikkerheten, må det vurderes hvilken risiko bruddet innebærer for de berørte personenes rettigheter og friheter.

Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter».

Den behandlingsansvarlige må være tilnærmet helt sikker på at bruddet ikke vil medføre eller har medført noen risiko for de berørte, for at unntaket skal være oppfylt. Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynet for sikkerhets skyld.

Eksempler på typiske brudd som skal meldes til Datatilsynet

Forsendelsesfeil

  • Brev eller e-post som inneholder personopplysninger er sendt til feil mottaker.
  • Utsendelse av nyhetsbrev hvor e-postadressene til alle mottakerne er synlige.
  • Forsendelser til riktig mottaker, som ved en feil inneholder beskyttelsesverdige personopplysninger om andre personer.
  • Postforsendelser til riktig mottaker, men hvor emballasjen avslører sensitiv informasjon. For eksempel innkalling til medlemsmøte i en religiøs menighet.
  • Pakker med sensitivt innhold er sendt til feil mottaker.
  • Postforsendelser hvor emballasjen er åpnet.

Angrep mot datasystemer (hacking) hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelige, eller at det er sannsynlig at dette har skjedd.

Sikkerhetshull er oppdaget, og virksomheten kan ikke utelukke at uvedkommende har utnyttet seg av det.

Tilgangsstyring mangler eller har feilet, slik at uvedkommende har fått tilgang til personopplysninger.

Uautorisert eller utilsiktet publisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Kastede dokumenter som skulle vært makulert.

Mistet, gjenglemt eller frastjålet:

  • Papirdokument
  • Datamaskin, nettbrett eller telefon der innholdet ikke er kryptert
  • Minnepinne eller lignende der innholdet ikke er kryptert

Krav til dokumentasjon

Uavhengig av om bruddet skal meldes til Datatilsynet, har den behandlingsansvarlige plikt til å dokumentere bruddet og vurderingen av om bruddet skal meldes eller ikke.

Hensikten med denne dokumentasjonsplikten er blant annet at Datatilsynet skal kunne kontrollere at den behandlingsansvarlige har etterlevd pliktene sine etter personopplysningsloven med personvernforordningen. Dokumentasjon er også nødvendig for det systematiske sikkerhetsarbeidet – internkontrollen.

Retningslinjer fra EDPB

Det europeiske Personvernrådet (European Data Protection Board, EDPB) har laget retningslinjer for hvilke brudd som er meldepliktige og ikke. Retningslinjene inneholder praktiske eksempler som er til hjelp når en behandlingsansvarlig skal vurdere om bruddet må meldes til Datatilsynet eller ikke. Det gis også veiledning i når de berørte skal informeres. Retningslinjene er tilgjengelige bare på engelsk.

Les retningslinjene fra EDPB

Håndtering av avvik