Når og hvordan skal jeg melde avvik?

Dersom du representerer en behandlingsansvarlig virksomhet skal du rapportere inn avvik så snart som mulig etter at avviket er oppdaget, og senest innen 72 timer. I denne sammenhengen er et avvik et «brudd på personopplysningssikkerheten».

Meldingen skal være skriftlig, men Datatilsynet kan varsles først på telefon dersom det er viktig at vi blir raskt kjent med avviket, for eksempel dersom avviket vil medføre at vi mottar henvendelser via andre kanaler. Du melder avvik her

Hva er et avvik/brudd på personopplysningssikkerheten

Et brudd på personopplysningssikkerheten, er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

- Personvernforordningen artikkel 4 nr. 12

Dette kan kategoriseres i:

  1. Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
  2. Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
  3. Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller tilintetgjøring av, personopplysninger.

Et brudd kan omfatte én, eller en kombinasjon av disse tre. Det avhenger av omstendighetene.

Dersom det har skjedd et sikkerhetsbrudd eller -hendelse, og man er usikker på om man skal melde avvik til Datatilsynet, undersøk først:

  • Er personopplysninger omfattet av bruddet?
  • Innebærer sikkerhetsbruddet en risiko for enkeltpersoners rettigheter og friheter?

Et brudd på personopplysningssikkerheten er alltid et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Virksomheten skal uansett ha interne rutiner for å kunne oppdage og håndtere avvik. Utarbeid rutiner for å:

  • oppdage og raskt håndtere brudd, inkludert det å finne ut om det er et brudd på personopplysningssikkerheten
  • vurdere risikoen for de registrerte (konsekvens og sannsynlighet)
  • avgjøre:
    • Er det nødvendig å melde til Datatilsynet? (risiko: middels og høy)

Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.

- Personvernforordningen artikkel 33 nr. 1
    • Er det nødvendig å informere de berørte? (risiko: høy)

Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.

- Personvernforordningen artikkel 34 nr. 1

Avvik skal alltid håndteres internt. Dersom det ikke meldes til Datatilsynet eller at de berørte ikke varsles, skal det begrunnes i en intern avviksrapport i egen virksomhet.

Hvordan vurdere risiko og høy risiko for de berørte

Med en gang man er klar over at det er har skjedd et brudd, skal man håndtere og begrense det, men man må samtidig avgjøre hvilken risiko det kan ha medført for de som er berørt av bruddet.

  • Dersom det er ingen eller lav risiko, er det ikke behov for å melde fra til Datatilsynet eller til de berørte.
  • Dersom det er middels risiko, er det nødvendig å melde fra til Datatilsynet, men ikke informere de berørte.
  • Dersom det er høy risiko, er det nødvendig å melde fra til Datatilsynet og informere de berørte.

Når man skal vurdere risiko av et brudd må man se på de konkrete omstendighetene rundt et brudd, herunder dens alvorlighetsgrad og potensielle innvirkning. For å avgjøre dette kan man se på følgende kriterier som må vurderes mot hverandre:

  • Hva slags type brudd er det
    Her må man se om det er et brudd på konfidensialitet, integritet og/eller tilgjengelighet, og konsekvenser av det.

Eksempler

Eksempel på konfidensialitet/tilgjengelighet: Et brudd hvor opplysninger av medisinsk art har blitt utlevert til uvedkommende kan ha andre konsekvenser for en enkeltperson enn hvis samme type opplysninger har gått tapt og ikke lenger er tilgjengelig.

Eksempel på konfidensialitet: Utlevering av personopplysninger som skyldes menneskelig svikt kan ha andre konsekvenser enn hvis noen bevisst har gjort datainnbrudd for å tilegne seg og spre personopplysninger om andre.

Eksempel på tilgjengelighet: Et midlertidig strømbrudd på et par timer som medfører at en digital læringsressurs i skolesammenheng er utilgjengelig, kan ha andre konsekvenser enn hvis et kryptovirus låser ned et system på et sykehus hvor helsepersonell ikke får tilgang til livsviktig informasjon om pasienter.

Eksempel på integritet: En oppdatering av programvare som fører til at bonusen på en kaffeavtale endres kan ha andre konsekvenser enn hvis det skjer en feil ved bytte av opptakssystem og at karakterer som skal overføres blir endret for søkere til studieplasser eller til jobber.

  • Personopplysningenes art, sensitivitet og mengde
    Når man vurderer risiko ved et brudd vil det være nødvendig å se på hvilke kategorier av personopplysninger som er berørt. Graden av sensitivitet vil vanligvis tilsi at jo mer sensitive eller følsomme opplysningene er, jo større risiko er det for de berørte. Men man må også ta hensyn til andre opplysninger man har om de registrerte.

    Brudd som omfatter helseopplysninger, identitetsdokumenter og kredittkortinformasjon kan alle forårsake skade hver for seg, men brudd som kombinerer slike data kan forårsake ID-tyveri eller svindel. Noen opplysninger kan virke harmløse, men man må gjøre grundige vurderinger av hva slike opplysninger kan avsløre om de berørte enkeltpersonene. 

    En begrenset mengde, men svært sensitiv informasjon om én person kan ha store konsekvenser for denne, samtidig som et større utvalg av detaljerte opplysninger kan avsløre et bredere spekter av informasjon om en enkeltperson.

    Et brudd som omfatter en database eller tjeneste som inneholder mange personopplysninger, kan ha innvirkning på et korresponderende antall enkeltpersoner. I slike tilfeller kan det være tilsvarende vanskelig å se hvilke konsekvenser det kan medføre for den enkelte.
  • Hvor lett det er å identifisere enkeltpersoner
    Her må man se på hvor lett det er å identifisere en enkeltperson ut fra data som er kompromittert, eller om det går an å sammenstille med andre data som er allerede offentlig tilgjengelig for å identifisere den enkelte. Man må også se på om data er kryptert, om man har kontroll på krypteringsnøkkel, og om det er brukt anerkjent standard på kryptering. Les mer om kryptering

    Merk at hashing ikke er kryptering og er ikke en god nok sikring av for eksempel passord. Skjer det en utlevering av pseudonyme data hvor man har kontroll på koblingsnøkkel, kan det redusere sannsynligheten for at enkeltpersoner blir identifisert ved et brudd.

  • Alvorlighetsgrad av konsekvenser for enkeltpersoner
    Her må man se på hva bruddet kan medføre for den enkelte. Hvor lett er det at bruddet kan føre til ID-tyveri eller svindel, fysisk skade, psykisk påkjenning, ydmykelse eller skade på omdømme? Om bruddet inneholder personopplysninger om sårbare individer, kan det føre til høyere risiko for skade. Hvis man vet at personopplysninger er utlevert til personer med ukjente eller mulige onde hensikter, vil dette ha en innvirkning på graden av potensiell risiko.

    Hvis derimot en utlevering feilaktig er blitt gjort til en tredjepart man har tillit til (for eksempel en annen avdeling innen en virksomhet eller en anerkjent leverandør), og man har stor grad av tillit til at personopplysninger blir slettet eller tilbakeført hvis man ber om det, vil dette kunne ha en påvirkning på risikoen for enkeltpersoner.

    Man må også vurdere varigheten av konsekvensene for enkeltpersoner der langvarig skade antakelig vil være verre enn kortvarig.

  • Spesielle egenskaper ved enkeltpersoner
    Et brudd som omfatter personopplysninger om barn eller andre sårbare enkeltpersoner eller utsatte grupper, kan medføre større konsekvenser for dem.
  • Antall berørte enkeltpersoner
    Et brudd kan omfatte kun én person, noen få, mange tusen eller mer. Generelt sett vil det være større konsekvenser jo flere som er berørt. Allikevel kan det medføre stor risiko for én enkeltperson hvis man ser det opp mot hvilke personopplysninger som er omfattet og i hvilken sammenheng bruddet har skjedd.

  • Spesielle egenskaper ved den behandlingsansvarlige
    Her må man se på hva slags type virksomhet eller rolle den behandlingsansvarlige innehar eller hvilke typer aktiviteter man driver med. I hvilken grad har de registrerte en særskilt forventning om at virksomheten ivaretar personopplysningenes konfidensialitet, integritet og tilgjengelighet? Vil det være noe beskyttelsesverdig ved å være registrert hos virksomheten, som for eksempel hos en religiøs menighet, barnevernet eller i et kreftregister?

Eksempler

Hos en arbeidsgiver har de ansatte en forventning om at arbeidsgiver skal holde personalopplysninger utilgjengelig for uvedkommende (også kollegaer) og korrekte.

Finansielle opplysninger er ikke definert som sensitive personopplysninger, men kundene i en bank eller forsikringsselskap har likevel en klar forventning om at virksomheten behandler slike opplysninger som konfidensielle.

Et helseforetak vil behandle helseopplysninger som vil kunne medføre større skade ved et brudd, enn hvis det skjer en utlevering av en adresseliste over abonnenter av en avis. Allikevel, må man også her se på hva slags type avis det er, om det sier noe om for eksempel politisk eller religiøs retning, eller seksuell legning.

Eksempler på avvik som skal meldes til Datatilsynet

Forsendelsesfeil

  • Beskyttelsesverdige personopplysninger er sendt til feil mottaker pr. post eller e-post.
  • Digitale forsendelser som avslører andres e-postadresse i en kontekst hvor mottakerne skal beskyttes.
  • Forsendelser til riktig mottaker, men som ved en feil også inneholder beskyttelsesverdige personopplysninger om andre.
  • Postforsendelser til riktig mottaker, men hvor det er informasjon om mottakeren som skal skjermes for andre er synlig utenpå forsendelsen. Eksempel på dette er innkalling til medlemsmøte i en religiøs menighet.
  • Postforsendelser hvor innholdet mangler eller innholdet er der, men konvolutten er revet opp.

Hacking eller datainnbrudd, hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelig, eller at det er sannsynlig at dette har skjedd.

Tilgangsstyring feilet, er mangelfull eller manglende, slik at uvedkommende har fått tilgang til beskyttelsesverdige personopplysninger.

Nettpublisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Fysisk innbrudd hvor ukrypterte digitale data eller papirdokumenter med personopplysninger er forsvunnet.

Kaste/kvitte seg med opplysninger uten sletting eller makulering

Mistet/gjenglemt/forlagt:

  • Papirdokumenter
  • Laptop, nettbrett eller telefoner der innholdet ikke er kryptert 
  • Minnepinner eller andre små lagringsmedier der innholdet ikke er kryptert

Hvem skal rapportere avvik?

Den behandlingsansvarlige virksomheten er ansvarlig for å rapportere inn avvik. Det er opp til virksomheten selv å bestemme hvem som skal rapportere inn avvik til Datatilsynet. Dersom virksomheten har et personvernombud, skal denne informeres om avviket.

Det hender at Datatilsynet blir kontaktet av personer som har fått sine personopplysninger utlevert eller har blitt eksponert for andres personopplysninger. Det er også tilfeller hvor vi blir kontaktet av media eller leser om avviket i en avis, eller at andre parter gjør oss oppmerksom på det. I slike tilfeller vil vi vurdere å ta kontakt med den behandlingsansvarlige for å be om en avviksmelding.

Dersom et avvik oppstår hos en databehandler, har databehandleren plikt til å informere de behandlingsansvarlige så raskt som mulig (uten ugrunnet opphold). Databehandleren kan melde avvik direkte til Datatilsynet dersom den behandlingsansvarlige har gitt databehandler fullmakt om dette og det er spesifisert i databehandleravtalen.

Hvor raskt må et avvik meldes?

Den behandlingsansvarlige skal melde avviket til Datatilsynet så raskt som mulig (uten ugrunnet opphold) og senest 72 timer etter at man har en rimelig grad av visshet om at det har skjedd et brudd på sikkerheten som har ført til at personopplysninger er kompromittert.

Dersom bruddet ikke meldes innen 72 timer, skal årsakene til forsinkelsen oppgis. Dersom det ikke er mulig å gi all informasjon samtidig, kan den gis trinnvis.

Tid er avgjørende ved brudd på personopplysningssikkerheten. Det er viktig at man umiddelbart håndterer bruddet, får på plass risikoreduserende tiltak, melder fra til Datatilsynet, og så raskt som mulig informerer de berørte (der det er nødvendig). Les om kravene som stilles til informasjon til de berørte

Datatilsynet får blant annet spørsmål fra virksomheter som er usikre på hva de gjør dersom man oppdager et brudd for eksempel rett før eller underveis i jul eller påske. Vi må derfor presisere at 72 timer er 72 klokketimer. Aktører med onde hensikter tar antakelig ikke ferie, så håndtering av brudd kan ikke utsettes.

Rutiner for håndtering av brudd på personopplysningssikkerheten bør derfor innarbeides i beredskapsplaner og i rutiner for håndtering av andre sikkerhetshendelser.

19