Personopplysninger på avveier

Virksomheter som opplever at personopplysninger de har ansvar for er på avveier, bør treffe tiltak for å forhindre videre lekkasje av personopplysningene.

Virksomheten må først og fremst innføre gode rutiner og ta nødvendige forholdregler for å unngå videre spredning av personopplysninger. Forholdsreglene vil også kunne hindre at situasjonen utvikler seg til en krise:

 • Ansvarsforholdene må kartlegges, og det må gjennomføres nødvendige sikkerhetstiltak og etableres beredskap dersom videre spredning likevel skulle skje.
 • Ansatte må gis nødvendig opplæring for å håndtere mulige situasjoner som kan oppstå. Ansatte må kunne reagere raskt på situasjonen som har oppstått.

Brudd på personopplysningsloven

Det oppstår et brudd på personopplysningsloven når uautoriserte personer eller virksomheter har fått tilgang til, benyttet eller skaffet til veie noens personlige informasjon. Det å tilegne seg personopplysninger om andre er normalt ulovlig etter personopplysningsloven. I noen tilfeller, for eksempel dersom opplysningene brukes til å begå ID-tyveri, vil også straffelovens bestemmelser kunne gjelde.

Noen av de mest vanlige krenkelsene av personvernet skjer når personlig informasjon om kunder, pasienter, klienter eller ansatte forsvinner, blir stjålet eller mistes. Lekkasje av opplysninger kan også oppstå som en konsekvens av en feil eller driftsstans i virksomhetens systemer.

Hvordan håndtere at personopplysninger har kommet på avveier?

Dersom virksomheten opplever et brudd på personvernbestemmelsene, er det viktigste at enhver situasjon tas på alvor og at det umiddelbart igangsettes tiltak for å klarlegge hva som har skjedd, og omfanget av det. Som en hjelp til å komme i gang med dette, foreslår Datatilsynet at virksomheten gjennomfører ett eller flere av disse tiltakene:

 1. Begrense krisen og forberede en omfangsvurdering
 2. Vurdere omfanget av dette spesifikke bruddet på personvernet
 3. Varsle involverte parter
 4. Sette i gang skadeopprettende tiltak
 5. Forhindre gjentakelse

Trinn 1, 2 og 3 bør enten gjennomføres parallelt eller i rask rekkefølge. Trinn 4 må ses i sammenheng med omfangsvurderingen, men skadeopprettende tiltak vil samtidig ofte ha langsiktige mål. Trinn 5 anbefales å gjennomføre som en langsiktig strategi.

Dette betyr at tiltakene som iverksettes er ment å forebygge lignende hendelser i fremtiden. Det vil derfor bygge på det virksomheten har lært av denne hendelsen. Avgjørelsen om, og valget av reaksjon på hendelsen bør vurderes fortløpende i hvert enkeltstående tilfelle.

Trinn 1: Begrense krisen og forberede en omfangsvurdering

 • Virksomheten må så fort som mulig sette i gang strakstiltak for å begrense omfanget av lekkasjen. Et slik tiltak kan være å sørge for å stoppe den uautoriserte fremgangsmåten som er brukt for å gjennomføre innbruddet, å gjenskape dokumentene eller registeret som er berørt, stenge av systemet hvor uautorisert utlevering har skjedd, oppheve eller endre av koder eller svakheter i fysisk eller elektronisk sikkerhet involvert i sikkerhetsbruddet.
 • En person bør utnevnes til leder for krisehåndteringen. Denne personen må få nødvendig spillerom i virksomheten til å kunne gjennomføre den innledende granskningen, og til å kunne komme med foreløpige anbefalinger for videre tiltak og håndtering av krisen.
 • Det kan være nødvendig å utnevne en gruppe bestående av representanter fra ulike eller berørte avdelinger eller grupper innen virksomheten som skal være sentral i håndteringen av krisen. Vær tydelig i forhold til hvem som leder arbeidet, slik at ansvar mellom avdelinger er avklart og det ikke kan oppstå konflikter om dette som hindrer arbeidet.
 • Det må vurderes hvilke personer både internt og eksternt som skal eller bør varsles umiddelbart om hendelsen.
 • Hvis overtredelsen ser ut til å omfatte tyveri eller andre kriminelle handlinger, må politiet varsles.
 • Den interne prosessen må ikke undergrave muligheten for en eventuell etterfølgende politietterforskning. Sørg for å ikke forspille bevis som senere kan vise seg verdifulle. Disse kan bidra til å forklare hvordan og hvordan overtredelsen kunne skje og eventuelt hvem som kan lastes for den.

Trinn 2: Vurdere omfanget av det spesifikke regelbruddet    

Før det kan avgjøres hvilke tiltak som skal settes i gang umiddelbart, må virksomheten kartlegge risikoen forbundet med overtredelsen. Disse faktorene bør vurderes i denne kartleggingen:

Hva slags personlig informasjon er berørt

 • Det må etableres hvilken type personlig informasjon som er på avveier.
 • Det må slås fast hvor mye informasjon er på avveier.
 • Det må defineres hvor sensitiv informasjonen som er på avveier er. En generell regel er at jo mer sensitiv informasjonen er, jo høyere risiko er det for at enkeltindivider vil rammes. Personopplysningsloven definerer hva som er sensitive personopplysninger. Vær likevel oppmerksom på at publikums opplevelse av hva som er sensitive opplysninger ofte gjelder flere opplysninger enn det som er definert i loven. For eksempel oppfatter mange at statlig utstedt informasjon som person-, pass- eller førerkortnummer og finansielt relaterte opplysninger som kredittkort eller bankkortnummer som i kombinasjon kan benyttes for identitetstyveri er sensitive.
 • En kombinasjon av personlig informasjon er vanligvis mer potent enn deler av den samme informasjonen vil være enkeltvis. For eksempel vil fødselsnummer, bankkortnummer, kundehistorikk, navn og adresse ha større potensiale for misbruk enn hver av disse opplysningene alene. Det er viktig å merke seg at det at opplysningene er sensitive eller ikke, ikke er det eneste eller det viktigste kriteriet for å vurdere konsekvensene av lekkasjen eller skadepotensialet.
 • Det er viktig å finne ut i hvilken sammenheng den personlige informasjonen har kommet på avveier. For eksempel er en liste med oversikt over adresser på en avisrute i seg selv kanskje ikke særlig beskyttelsesverdig informasjon. En liste over adresser til aviskunder som har avbestilt avisen fordi de skal på ferie kan være mye mer følsom. Informasjon som er tilsvarende offentlig informasjon, for eksempel den informasjonen som er tilgjengelig i telefonkatalogen er trolig mindre beskyttelsesverdig enn informasjon som kun er tilgjengelig hos virksomheten.
 • Det må etableres om den personlige informasjonen er tilstrekkelig kodet eller kryptert, anonymisert eller gjort vanskelig tilgjengelig.
 • Det må defineres hvordan den personlige informasjonen kan benyttes. For eksempel kan noen typer informasjon misbrukes til kriminell virksomhet. Enkelte typer beskyttelsesverdig personlig informasjon kan i kombinasjon med navn, adresse og fødselsdato, fra andre kilder utgjøre fare for identitetstyveri. Slik informasjon vil ha høy risikofaktor.

En vurdering av hvilken type personlig informasjon som er omfattet eller berørt vil være med på å avgjøre hva virksomheten bør foreta seg, hvem som bør involveres og hvilken type varsling som bør sendes til de involverte og berørte parter. Et eksempel er hvis en bærbar datamaskin med tilstrekkelig kryptert informasjon er stjålet og deretter gjenfunnet, og nærmere undersøkelser viser at informasjonen ikke har vært rørt. I et slikt tilfelle vil det ikke være nødvendig å varsle berørte parter.

Årsak til og omfang av hendelsen

 • Virksomheten må kartlegge årsaken til og omfanget av hendelsen så langt det er mulig.
 • Virksomheten må vurdere om det er noen risiko for at hendelsen fortsatt pågår eller at noe tyder på at informasjonen spres videre.
 • Virksomheten må vurdere omfanget av den uautoriserte tilgangen til, innsamlingen av, bruken av eller avsløringen av den personlige informasjon. Når dette vurderes, må det også tas hensyn til hvor mange og hvem som er de antatte mottagerne av informasjonen samt hvilken risiko det knytter seg til disse mottagerne.
 • Det er viktig å finne ut om informasjonen ble mistet eller stjålet Hvis den ble stjålet, bør virksomheten, dersom det er mulig, finne ut om dette var et planlagt tyveri eller ikke.
 • Når omfanget av hendelsen vurderes bør det tas hensyn til om den personlige informasjonen kommet til rette.
 • Vurderingen bør omfatte hvilke tiltak som er igangsatt for å begrense skadeomfanget.
 • Virksomheten må finne ut om hendelsen skyldes et pågående problem med systemet eller om det er en engangshendelse.

Hvem er berørt

 • Virksomheten må slå fast om noens personlig informasjon fortsatt er på avveier og hvis dette er tilfellet, hvor mange personer dette gjelder.
 • Det må avklares hvem er berørt av hendelsen. Dette kan for eksempel være ansatte, leverandører, allmennheten, kunder, tjenesteleverandører eller andre organisasjoner eller virksomheter.

Hvilke skader kan hendelsen medføre

 • Virksomheten må vurdere den enkelte berørtes forventninger til om hendelsen vil forårsake skade. Noen vil for eksempel anse en liste over abonnenter av et nisjemagasin som potensielt er mer skadelig enn en liste over abonnenter av en riksdekkende avis.
 • Det må etableres hvem mottagerne av informasjonen som er på avveier er. Dette kan for eksempel være om det er noen sammenheng mellom de eller den uautoriserte mottageren(e) og typen informasjon som er på avveier. Hvis informasjonen ble videreformidlet til intetanende personer eller til personer som kan mistenkes å være involvert i kriminell aktivitet vil hendelsen ha ulik risiko. I det siste tilfellet vil det være større mulighet for at informasjonen vil misbrukes. Dersom mottageren av informasjonen er en kjent instans eller person som du eller dere stoler på, vil vedkommende trolig returnere informasjonen uten å videreformidle eller benytte den på noen måte.

Virksomheten må vurdere hvilken skade hendelsen vil kunne utgjøre for de som er berørt. Noen eksempler på slike skader kan være:

 •  Sikkerhetsrisiko (for eksempel fysisk tyveri)
 •  Identitetstyveri
 •  Økonomisk tap
 •  Tap av forretningsvirksomhet eller karrieremuligheter
 •  Ydmykelse eller krenking av omdømme eller forbindelser

Virksomheten bør vurdere hvilken skade den bør regne med å bli påført som følge av hendelsen. Noen eksempler på slike skader kan være:

 •  Svekking av de berørte eller omverdens tillit til virksomheten
 •  Tap av eiendeler
 •  Økonomisk blottgjøring
 •  Søksmål (for eksempel gruppesøksmål)
 •  Det må vurderes om det å varsle om overtrampet kan føre til at allmennheten blir skadelidende. I denne forbindelse betyr skadelidende at det er fare for allmennhetens helse eller sikkerhet.

Trinn 3: Varsle involverte parter

Varsling kan være et viktig element i å redusere konsekvenser av hendelsen, både for virksomheten og for individene som er rammet av hendelsen. Det er en helt sentral personverninteresse å få vite hva som skjer med ens personopplysninger, hvem som får hånd om og lagrer dem, og hvor det skjer. 

På dette stadiet bør virksomheten ha en mest mulig komplett oversikt over risikofaktorer. I tillegg bør en vurdering være gjennomført slik at virksomheten har avgjort om berørte individer skal varsles.

Når skal virksomheten varsle?

Varsling av individer som er berørt av hendelsen bør skje så fort som mulig etter at en vurdering av hendelsen er gjennomført. Dersom Politiet eller andre myndigheter er involvert, er det viktig at man rådfører seg med dem med tanke på om varslingen kan ha innvirkning på etterforskningen. Dersom den kan ha det, bør varslingen utsettes.

Hvordan skal virksomheten varsle?

Det beste er å varsle direkte for eksempel via telefon, brev, e-post eller ved personlig formidling av nyheten til den enkelte som er berørt. Varsling bør dokumenteres, slik at virksomheten i ettertid kan bevise at dette er gjort. Indirekte varsling via for eksempel webside, oppslag eller gjennom media bør kun skje når direkte varsling kan forårsake videre skade for noen av partene, virksomheten ikke har tilgjengelig kontaktinformasjon til de rammede eller at individuell varsling er umulig av kostnadsmessige årsaker (i så tilfelle må dette begrunnes særskilt). Det kan i enkelte tilfeller være lurt å benytte flere enn en varslingsmåte. Virksomheten bør alltid foreta en vurdering av om varslingsmetoden kan innebære fare for økning av skadeomfanget (for eksempel ved at personen som har stjålet en bærbar datamaskin varsles om hvor verdifull informasjonen på datamaskinen er eller kan være).

Hvem skal varsle?

Virksomheter som har et nært forhold til sine kunder, klienter eller ansatte bør selv varsle disse. Dette gjelder også hvis hendelsen har skjedd hos en underleverandør som er kontraktfestet til å oppbevare eller håndtere den personlige informasjonen (en databehandler). Det kan likevel være situasjoner der det er mer passende at varslingen overlates til en tredjepart. Et eksempel på dette er kan være dersom en butikk har videresendt kredittkortinformasjon. Det vil da naturlig at det er selskapet som har utstedt kredittkortet som varsler kunden, ikke butikken. Dette er både fordi selskapet er ansvarlig og har tilgang til korrekt kontaktinformasjon.

Hvilken informasjon skal varslingen inneholde

Innholdet i varslingen vil avhenge både av den enkelte hendelsen og av hvilken varslingsmetode som er valgt. Varslingsinformasjonen må tilpasses, men bør rent generelt inneholde:

 • En beskrivelse av hva som har skjedd og når.
 • Informasjon om hvem som er berørt.
 • En beskrivelse av hvilken type personlig informasjon som er omfattet.
 • En generell beskrivelse av hva virksomheten har gjort for å ta kontroll på og begrense skaden.
 • Hvilke skadeopprettende tiltak som er gjennomført.
 • Hva virksomheten vil foreta seg for å hjelpe de som er berørt, og hva hvert enkelt individ kan foreta seg for å unngå eller begrense skadeomfanget og samtidig beskytte seg mot fremtidig skade. Et alternativer her kan være å autorisere kreditovervåking, sperre seg for kredittsjekk eller sperre omadressering av post.
 • En oversikt over hvor den enkelte kan finne informasjon om identitetstyveri og hvordan hver enkelt kan beskytte seg mot dette.
 • Kontaktinformasjon til den avdelingen eller kontaktpersoner i virksomheten som kan svare på spørsmål om hendelsen.
 • Dersom virksomheten har varslingsplikt etter personopplysningsforskriftens § 2-6 og Datatilsynet er varslet, bør dette oppgis slik at de som er berørt blir klar over at personvernmyndighetene kjenner til  hendelsen.
 • Kontaktinformasjonen til relevante personvernmyndigheter, for eksempel Datatilsynet.
 • Varslingen skal ikke inkludere noen unødvendige personopplysninger. Dette er for å unngå all videre misbruk av personopplysninger.

Andre som skal eller kan kontaktes

I mange tilfeller hvor personopplysninger er på avveier vil virksomheten ha plikt til å rapportere hendelsen til Datatilsynet. Tilsynet vil kunne hjelpe til med å svare på henvendelser fra publikum og behandle eventuelle mottatte klager. Datatilsynet kan også gi virksomheten råd og veiledning om hvordan krisen skal håndteres.

Ved å varsle Datatilsynet om hendelsen, signaliserer virksomheten at den tar hendelsen alvorlig.

Før det avgjøres om Datatilsynet skal varsles må virksomheten vurdere om det finnes gjeldende lovgivning som krever at virksomheten skal varsle i det konkrete tilfellet, i så fall bør meldingen ha med opplysninger om:

 • Hvilken del av informasjonen som er kommet på avveier som omfattes av personvernlovgivningen.
 • En beskrivelse av hendelsen.
 • Hvilken type personopplysninger som er omfattet.
 • Er det fare for at informasjonen kan:
  • misbrukes til å avsløre beskyttelsesverdige personlige forhold, i så tilfelle hvilke forhold.
  • misbrukes til økonomisk vinning.
  • misbrukes til å gjennomføre identitetstyveri.
  •  misbrukes til å skade den eller de involverte, inkludert å gjøre ikke- økonomisk skade. 
 • Hvor mange individer som er berørt.
 • Om noen av de berørte individene er varslet?
 • Om det er grunn til å tro at personvernmyndighetene vil motta klager eller forespørsler om overtredelsen.

Uavhengig av hva virksomheten har av plikter til å varsle berørte individer eller Datatilsynet, bør den også vurdere å varsle disse aktørene:

Politiet. Politiet bør varsles dersom det er mistanke om tyveri eller andre kriminelle handlinger.

Forsikringsselskap eller andre virksomheter. Virksomheten kan være kontraktfestet til å varsle forsikringsselskap eller andre virksomheter.

Interesseorganisasjoner eller andre viktige interessegrupper. For noen virksomheter vil dersom være standarder innen bransjen som krever at en spesiell interessegruppe skal varsles eller det vil være interessegrupper som det er naturlig å varsle.

Kredittkortfirma, finansielle institusjoner eller kredittopplysningsbyråer. I noen tilfeller vil disse aktørenes assistanse være nødvendig for å kunne kontakte de som er berørt individer. Andre ganger vil de berørte ha behov for hjelp fra for eksempel kredittopplysningsbyråer eller kredittkortfirma for å begrense skaden. Det vil være ryddig av virksomheten å varsle disse slik at de er forberedt på økt pågang.  

Andre interne eller eksterne grupper som ikke allerede er varslet:
 Underleverandører eller andre parter som kan bli berørt.
 Interne enheter som ikke tidligere er varslet om hendelsen, for eksempel kommunikasjons- og mediekontakter eller øverste ledelse.
 Fagforeninger, andre forhandlingskanaler eller organisasjoner for de ansatte.

Trinn 4: Sette i gang skadeopprettende tiltak

Når ulykken først er ute og personopplysninger er på avveier, er det viktig at virksomheten handler raskt og gjør sitt ytterste for å rette opp skaden. Virksomheter som behandler personopplysninger har påtatt seg et behandlingsansvar. I dette ligger et ansvar for å håndtere mulige uønskede hendelser. I mange tilfeller er for dårlig sikring av informasjon grunnen til at personopplysninger kommer på avveier. Årsaken til hendelsen bør drøftes inngående i forbindelse med trinn 5, forhindring av gjentagelse. Det viktigste under trinn 4, sette i gang skadeopprettende tiltak, er at virksomheten forsøker å gjenopprette normaltilstand.

Det mest sentrale i gjennomføringen av skadeopprettende tiltak er:

 • Å få klarhet i hvor informasjonen kan ha blitt spredd, enten ved eget initiativ eller ved å bistå Politiet.
 • Å sette inn målrettede tiltak for å finne mulige kilder for eventuell videre spredning.
 • Vurdere om informasjonen kan ha verdi for kriminelle aktører, herunder også evaluere hvordan disse kan bruke informasjonen.
 • Informere aktører eller individer som kan rammes og gi råd om hvilke forholdregler de bør ta (se for øvrig trinn tre om varsling).
 • Finne ut om informasjonen som er på avveier er tilgjengelig via søkemotorer. Dersom dette er tilfellet bør virksomheten enten på egen hånd eller ved hjelp av Politiet finne kilden for publiseringen. Virksomheten bør videre ta kontakt med søkemotoren og be om at indeksering og eventuell lagring av informasjon fjernes.
 • Å forandre kundenummer og andre identifikatorer i virksomhetens i interne systemer. Dette vil redusere verdien av informasjonen som er på avveier. Dersom det er nødvendig, bør det utstedes nye kundekort eller liknende til de som er berørt.
 • Å bistå de berørte ovenfor tredjeparter dersom dette er nødvendig for å ivareta de berørtes trygghet.
 • Å opprettholde en intern beredskap for å håndtere henvendelser fra personer som forsøker å misbruke informasjonen i egen virksomhet.

En av de viktigste truslene for uønsket spredning av informasjon er internett. Informasjonen spres utrolig raskt, og det er alltid en mulighet for at noen har lastet ned eller kopiert innholdet. En virksomhet kan derfor aldri være helt sikker på at det ikke har skjedd uønsket spredning. Selv informasjon som er kryptert før den kom på avveier vil ikke være sikret mot at noen klarer å dekryptere den over tid. I praksis vil skadeopprettende tiltak bety at virksomheten med rimelighet har forvisset seg om at tilstrekkelige tiltak er gjennomført.

Skadeopprettende tiltak vil ofte innebære at både virksomheten selv, fra Politiet og fra den berørte må gjennomføre tiltak. Virksomheten bærer hovedansvaret for skadeopprettende tiltak fordi den har forvaltningsansvaret for personopplysningene. Samtidig bør den eller de berørte i mange tilfeller vise ekstra vaktsomhet i tiden etter hendelsen for å hindre større skade. Rollefordelingen mellom virksomheten, politiet og den eller de berørte avhenger av hva slags informasjon som er på avveier.

Dersom virksomheten er usikker på hva den bør foreta seg, kan den søke råd hos Datatilsynet.

Trinn 5: Forhindre gjentakelse

Så fort det er gjennomført nødvendige forholdsregler for å begrense risikoen ved hendelsen, må virksomheten gjøre en grundig undersøkelse av hvordan og hvorfor dette kunne skje. Samtidig må virksomheten vurdere  om det er behov for en plan for å forebyggende lignende hendelser i fremtiden. Hvor omfattende denne planen skal være kommer an på den spesifikke hendelsen og hvor stort overtramp av personvernet den har forårsaket samt om dette var et systematisk overtramp eller et isolert tilfelle.

En forebyggende plan bør inneholde følgende: 

 • En risikovurdering av virksomhetens fysiske og tekniske sikkerhet, herunder en gjennomgang av om nåværende sikkerhetstiltak er tilstrekkelige.
 • En gjennomgang av virksomhetens fremgangsmåte, prosedyre og implementering av eventuelle endringer eller nye rutiner i respons på funnene i undersøkelsen.
 • En gjennomgang av de ansattes opplæring i virksomhetens rutiner for internkontroll og system for informasjonssikkerhet.
 • En gjennomgang av hvilke underleverandører har, og hvilken rolle disse spiller for eventuelle avdekkede svakheter.
 • En tiltaksplan som inkluderer hvilke nødvendige tiltak virksomheten har besluttet å gjennomføre.

Den endelige planen kan for eksempel inkludere et pålegg om at det skal gjennomføres en gransking av prosessen.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll

Les mer