Krav til informasjon til de berørte

De som er berørt av et avvik, altså de som har fått personopplysninger på avveier, skal informeres dersom det er sannsynlig at det vil medføre en høy risiko for deres rettigheter og friheter. Dette skal skje så raskt som mulig.

Dette er viktig for at de som er berørt skal kunne foreta seg noe, slik som for eksempel skadebegrensning, og fordi de har rett til å vite hva som har skjedd med deres personopplysninger og hvor opplysningene befinner seg.

Det er en høyere terskel for når man skal informere de berørte om et brudd enn når man har plikt til å sende inn en avviksmelding til Datatilsynet. Eksempler på når det vil innebære høy risiko er når bruddet kan føre til (ikke-uttømmende liste):

  • Diskriminering eller forskjellsbehandling
  • ID-tyveri
  • Bedrageri eller svindel
  • Økonomisk tap
  • Tap av omdømme
  • Tap av liv eller helse

Vi anbefaler virksomheten å være i forkant og vurdere å gi informasjon tidlig, mens det fortsatt er mulig å forhindre misbruk av personopplysninger, begrense omdømmetap for de berørte og virksomheten selv, og så videre.

Hva må man informere om og hvordan?

Den behandlingsansvarlige skal som minimum gi de berørte følgende informasjon:

  • Beskrivelse av bruddet.
  • Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes.
  • Beskrivelse av de sannsynlige konsekvensene av bruddet.
  • Beskrivelse av de tiltakene som den behandlingsansvarlige har truffet eller foreslår å sette igang for å håndtere bruddet, inkludert (dersom det er relevant) tiltak for å redusere eventuelle skadevirkninger som følge av bruddet. 

Den behandlingsansvarlige bør så langt det er mulig, ta direkte kontakt med de som er berøre. Informasjonen som gis bør være ment for dette formålet og bør ikke sendes sammen med annen informasjon, slik som nyhetsbrev, oppdateringer eller standardmeldinger. Dette gjør informasjonen om bruddet mer åpen og tydelig.

Eksempler på kanaler som kan brukes er:

  • E-post
  • SMS
  • Brev
  • Fremtredende beskjed på nettsted
  • Annonsering i trykte medier

Man bør prøve å bruke de metodene og kanalene som er mest hensiktsmessige for at det er størst sannsynlighet for å nå ut til de berørte enkeltpersonene.

Når er det ikke nødvendig å gi informasjon til den registrerte som er berørt av et avvik?

Den behandlingsansvarlige trenger ikke å informere de berørte dersom:

  • det er gjennomført egnede tekniske og organisatoriske sikkerhetstiltak for å sikre personopplysningene i forkant av bruddet, særlig tiltak som gjør personopplysningene uleselige for personer som ikke har autorisert tilgang til dem, for eksempel kryptering
  • det er gjort etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen vil oppstå. For eksempel, avhengig av omstendighetene, hvis den behandlingsansvarlige umiddelbart har identifisert og iverksatt tiltak mot en enkeltperson som har fått tilgang til personopplysningene før vedkommende har hatt mulighet til å gjøre noe med dem. Det må allikevel vurderes hvor høy restrisiko som er igjen og hvilke konsekvenser det kan medføre for de berørte.
  • det vil innebære en uforholdsmessig stor innsats. Eksempler på dette er når kontaktopplysninger har blitt borte som et resultat av bruddet eller i utgangspunktet ikke har vært kjent for den behandlingsansvarlige. Dersom det er tilfelle, skal man i stedet informere offentlig, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte. 
  • informasjon om sikkerhetsbruddet vil avsløre opplysninger av betydning for Norges utenrikspolitiske, forsvars- og sikkerhetsinteresser, forebygging og etterforskning av straffbare handlinger, og opplysninger underlagt lovpålagt taushetsplikt. Dette unntaket er en av bestemmelsene i personvernforordningen hvor det åpnes for særregulering. Norge har benyttet denne muligheten for å sikre samsvar med forvaltningsloven og offentlighetsloven (se personopplysningsloven § 16 fjerde ledd, jf. § 16 første ledd bokstav a, b og d.) 
22