Hvordan melde brudd på personopplysningssikkerheten (avvik)

Vi vil gjerne at dere bruker Altinn for å melde brudd på personopplysningssikkerheten til oss. Gjennom Altinn får dere tilgang til et skjema hvor vi spør om den informasjonen dere har plikt til å gi oss om bruddet.

Les mer om hva et brudd på personopplysningssikkerheten er og når dere må melde

Vi ber om at dere svarer så detaljert som mulig på de ulike spørsmålene. Dere kan også legge ved filer gjennom Altinn.

Meld bruddet her (altinn.no) 

Før dere kan fylle ut skjemaet i Altinn, må dere ha følgende klart: 

  1. Tilgang til skjema
    Den som skal melde må ha myndighet til å rapportere inn bruddet på vegne av virksomheten. For å fylle ut og sende inn skjemaet, trengs enten Altinn-rollen «Utfyller/innsender» eller en egendefinert rolle som virksomheten kan opprette.
    En egendefinert rolle kan være nyttig dersom virksomheten ønsker å begrense tilgangen for den som skal melde bruddet til enkeltskjemaer. Dersom den som skal melde ikke har en gyldig rolle i Altinn, må den i virksomheten som styrer tilganger kontaktes (disse har rollen "Tilgangsstyring").
    Les mer om roller og rettigheter på Altinn.no
  2. Elektronisk ID (eID)
    Den som skal melde trenger en elektronisk ID (eID) for å kunne logge inn i Altinn. Dersom det ikke er ønskelig å bruke private eID, kan virksomheten skaffe et virksomhetssertifikat fra Commfides eller Buypass.

Hvis dere ikke har mulighet til å melde bruddet via Altinn, kan dere melde via e-post til eller via alminnelig brevpost. Vær oppmerksom på at e-post ikke er egnet for sensitiv informasjon, med mindre informasjonen krypteres tilstrekkelig først. Hvis dere sender oss kryptert informasjon over e-post, må dere ringe oss og informere om hvordan vi kan dekryptere informasjonen, eventuelt kan dere benytte OpenPGP.

Trinnvis melding

Dersom dere ikke har mulighet til å gi full informasjon om bruddet innen tidsfristen på 72 timer, kan dere melde bruddet trinnvis. I så fall må dere opplyse om det i den første meldingen, i tillegg til å gi all den informasjonen dere har om bruddet. Deretter må dere følge opp meldingen med ytterligere informasjon så snart dere har den. Dere har selv plikt til å følge opp en trinnvis melding.

Når dere skal sende inn mer informasjon om bruddet, må dere logge inn på Altinn igjen og finne frem til det innsendte skjemaet. Det vil da ligge i innboksen.

Når skjemaet åpnes, vil det stå "Det er sendt inn en melding om avvik for denne avgiveren tidligere. Er dette en ny avviksmelding eller et tillegg til en tidligere innsendt melding?". Skjemaet vil da inneholde kun én side med en tekstboks hvor den resterende informasjonen kan fylles inn.

Hva gjør Datatilsynet med avviksmeldingene?

Vi gjør ikke nærmere undersøkelser av alle meldingene vi mottar om brudd på personopplysningssikkerheten. Vi vurderer meldingene ut i fra blant annet omfang, alvorlighetsgrad og tiltak, og velger ut endel som går til videre saksbehandling. Dersom vi tar saken til videre behandling hører dere fra oss så snart som mulig.

Vi gjør oppmerksom på at hvis noen som er berørt av bruddet klager til Datatilsynet, har vi pliktet til å behandle klagen. Avviksmeldingen kan derfor også bli brukt i saksbehandlingen av en eventuell klage. 

Vi gjør også oppmerksom på at meldinger om brudd på personopplysningssikkerheten vil kunne bli brukt i forbindelse med tilsynsvirksomheten vår.

 

Nærmere om utfylling av skjemaet

Beskrivelse av bruddet på personopplysningssikkerheten (avviket)

Beskriv bruddet så godt det lar seg gjøre. Gå gjennom følgende:

  1. Hovedårsak 

    Beskriv den overordnede årsaken til bruddet. Begrunnelsen "menneskelig svikt" skal kun benyttes dersom dere kan dokumentere at dere hadde rutiner som kunne avverget hendelsen, og at de ansatte har fått tilstrekkelig opplæring i rutinene.
  2. Hvor lenge har bruddet pågått

    Hvis dere ikke vet når bruddet startet, for eksempel på grunn av manglende logging, angir dere omtrentlig tidsrom og spesifiserer nærmere under "Beskriv hva som har skjedd".
  3. Når ble bruddet oppdaget

    Angi når dere ble oppmerksom på bruddet.
  4. Hvor mange er berørt

    Angi omtrentlig antall personer som bruddet omfatter. Det vil si alle personer som kan ha blitt utsatt for brudd på konfidensialitet, integritet eller tilgjengelighet for sine personopplysninger. Ved innbrudd i en e-postkonto, vil for eksempel alle personer det finnes opplysninger om i e-postkontoen være berørte.
  5. Hva har skjedd

    Beskriv i detalj hva som har skjedd. Her er det blant annet viktig å få frem hvilke typer systemer bruddet omfatter og hvilken informasjon systemene inneholder.
  6. Hvordan oppsto bruddet

    Beskriv i detalj hvordan bruddet skjedde. Her er vi ute etter en detaljert beskrivelse av årsaken. Hvis dere for eksempel er rammet av løsepengevirus, skal dere beskrive hvordan løsepengeviruset kom inn i systemene deres, og hvordan det eventuelt kunne spre seg videre til andre systemer.
  7. Hvilke typer personopplysninger er berørt

    Angi hvilke kategorier personopplysninger som er omfattet av bruddet, for eksempel navn, adresse, e-postadresse, personnummer, lønnsopplysninger, helseopplysninger og så videre.
  8. Hvilken relasjon har den behandlingsansvarlige til de berørte personene

    Er de berørte for eksempel kunder, ansatte, leverandører, medlemmer, saksparter eller lignende.
  9. Hvor befinner personopplysningene seg etter bruddet

    Angi om dere fortsatt har kontroll over opplysningene eller om uautoriserte tredjeparter har dem.

Konsekvenser

Beskriv hvilke konsekvenser bruddet har hatt, eller kan få, for de berørte personene, herunder fysisk, materiell, eller ikke-materiell skade.

Eksempler på konsekvenser er mulighet for identitetstyveri, økonomisk tap, å miste jobben, omdømmetap, diskriminering, tap av kontroll over egne personopplysninger, å miste tilgang til en tjeneste slik som helsehjelp og så videre.

Tiltak

Beskriv hvilke tiltak dere har gjennomført eller planlegger å gjennomføre for å redusere risikoen for lignende brudd på personopplysningssikkerheten i fremtiden. Beskriv også eventuelle tiltak dere har gjennomført for å redusere konsekvensene for de berørte i forbindelse med bruddet dere melder inn.

Informasjon

Angi om de berørte har blitt informert, og i så fall hvordan.

Hvis ikke de berørte er informert, må dere begrunne dette. Beskriv i så fall om dere planlegger å informere i fremtiden, eller hvorfor dere ikke vurderer risikoen for de berørte som høy. Vurderingen av om dere skal informere de berørte eller ikke skal dokumenteres internt.
Les mer om kravene til informasjon til de som er berørt av avviket

Kontaktinformasjon

Angi hvem vi kan kontakte dersom vi har behov for å kommunisere med dere.

Vedlegg

Dersom du ønsker å laste opp vedlegg i Altinn trykker du på arkfanen "Oversikt – skjema og vedlegg".