Hva er et brudd på personopplysningssikkerheten?

Utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, defineres i personvernforordningen som et brudd på personopplysningssikkerheten (avvik).

Dersom det skjer et brudd på personopplysningssikkerheten, også kalt avvik, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet.

Et brudd på personopplysningssikkerheten består av tre elementer:

  1. Et sikkerhetsbrudd
  2. Sikkerhetsbruddet fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang (årsakssammenheng)
  3. Sikkerhetsbruddet berører personopplysninger

Et sikkerhetsbrudd kan være både angrep utenfra og brudd på sikkerhetsprinsippene som skjer internt i virksomheten, for eksempel på grunn av menneskelig svikt som feilsendt e-post.

Sikkerhetsbruddet må føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.

Et brudd på personopplysningssikkerheten kan kategoriseres i:

  1. Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
  2. Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
  3. Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller sletting av, personopplysninger.

Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.

Retningslinjer fra EDPB

Det europeiske Personvernrådet (European Data Protection Board, EDPB) har laget retningslinjer for hvilke brudd som er meldepliktige og ikke. Retningslinjene inneholder praktiske eksempler som er til hjelp når en behandlingsansvarlig skal vurdere om bruddet må meldes til Datatilsynet eller ikke. Det gis også veiledning i når de berørte skal informeres. Retningslinjene er tilgjengelige bare på engelsk.

Les retningslinjene fra EDPB

Hvilke brudd skal meldes?

Hovedregelen er at den behandlingsansvarlige skal melde alle brudd på personopplysningssikkerheten til Datatilsynet (artikkel 33, lovdata.no).

Databehandleren skal i utgangspunktet kun melde til den behandlingsansvarlige, men kan under visse vilkår melde til Datatilsynet på vegne av den behandlingsansvarlige.

Unntak fra meldeplikten

Når den behandlingsansvarlige opplever et brudd på personopplysningssikkerheten må det vurderes hvilken risiko bruddet innebærer for de berørte personenes rettigheter og friheter.

Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter».

Den behandlingsansvarlige må være tilnærmet helt sikker på at bruddet ikke vil medføre eller har medført noen risiko for de berørte, for at unntaket skal være oppfylt. Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynet for sikkerhets skyld.

Eksempler på typiske brudd som skal meldes til Datatilsynet

Forsendelsesfeil

  • Brev eller e-post som inneholder personopplysninger er sendt til feil mottaker.
  • Utsendelse av nyhetsbrev hvor e-postadressene til alle mottakerne er synlige.
  • Forsendelser til riktig mottaker, som ved en feil inneholder beskyttelsesverdige personopplysninger om andre personer.
  • Postforsendelser til riktig mottaker, men hvor emballasjen avslører sensitiv informasjon. For eksempel innkalling til medlemsmøte i en religiøs menighet.
  • Pakker med sensitivt innhold er sendt til feil mottaker.
  • Postforsendelser hvor emballasjen er åpnet.

Angrep mot datasystemer (hacking) hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelige, eller at det er sannsynlig at dette har skjedd.

Sikkerhetshull er oppdaget, og virksomheten kan ikke utelukke at uvedkommende har utnyttet seg av det.

Tilgangsstyring mangler eller har feilet, slik at uvedkommende har fått tilgang til personopplysninger.

Uautorisert eller utilsiktet publisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Kastede dokumenter som skulle vært makulert.

Mistet, gjenglemt eller frastjålet:

  • Papirdokument
  • Datamaskin, nettbrett eller telefon der innholdet ikke er kryptert
  • Minnepinne eller lignende der innholdet ikke er kryptert

Krav til dokumentasjon

Uavhengig av om bruddet skal meldes til Datatilsynet, har den behandlingsansvarlige plikt til å dokumentere bruddet og vurderingen av om bruddet skal meldes eller ikke.

Hensikten med denne dokumentasjonsplikten er blant annet at Datatilsynet skal kunne kontrollere at den behandlingsansvarlige har etterlevd pliktene sine etter personopplysningsloven med personvernforordningen. Dokumentasjon er også nødvendig for det systematiske sikkerhetsarbeidet – internkontrollen.