Personvernbrudd: Når må du rapportere til Datatilsynet?

Ifølge GDPR er et brudd på personopplysningssikkerheten en sikkerhetshendelse som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring av, eller uautorisert tilgang til personopplysninger.

Det spiller ingen rolle om det er et dataangrep, en menneskelig feil eller en teknisk svakhet – alle typer hendelser som truer beskyttelsen av personopplysninger kan utgjøre et brudd.

Eksempler på brudd:

• En ansatt sender en lønnsfil til feil mottaker
  
  
• En bærbar PC med kundedata mistes, enten den er kryptert eller ikke
  
  
• Uautorisert tilgang til en database med sensitive personopplysninger
  
  
• Et virus angriper systemet og sletter viktige personalfiler

Å forstå hva som faktisk regnes som et brudd, er første steg i å håndtere det riktig.

Må alle brudd rapporteres til Datatilsynet?

Nei, ikke alle. Bare de bruddene som sannsynligvis medfører en risiko for de registrertes rettigheter og friheter må rapporteres. Dette er imidlertid en lav terskel, og i praksis må derfor de fleste brudd rapporteres til Datatilsynet.

I henhold til GDPR må rapportering til Datatilsynet skje innen 72 timer fra bruddet ble oppdaget. Hvis dere venter lenger enn dette, må dere kunne begrunne hvorfor – og dere risikerer sanksjoner.

Eksempler på rapporteringspliktige brudd:

• En database med fødselsnummer og bankkontonummer blir tilgjengelig på nettet
  
  
• Journaler med sensitive helseopplysninger eksponeres for uvedkommende
  
  
• En hacker får tilgang til virksomhetens e-postsystem og laster ned kundedata
  
  

Eksempler på brudd som ofte ikke må rapporteres:

• En PC med kryptert harddisk blir stjålet, men opplysningene kan ikke leses
  
  
• En ansatt åpner en fil ved en feil, men informasjonen spres ikke videre
  
  

Selv om et brudd ikke må rapporteres til Datatilsynet, må det likevel dokumenteres internt.

I en kommunal virksomhet kan det for eksempel dreie seg om at et eksternt byggefirma ved en feil får tilgang til en mappe med taushetsbelagte personopplysninger om barn i barnevernet. En slik hendelse anses som høy risiko for de berørte og rapporteres til Datatilsynet samme dag, sammen med en tiltaksplan for å forhindre gjentakelse og informasjon til foresatte.

I privat sektor kan situasjonen se annerledes ut, men prinsippene er de samme. Et netthandelsfirma som oppdager at en hacker har lastet ned en liste med kundenes kontaktopplysninger og kredittkortnumre fra nettbutikkens server, må handle raskt. Hendelsen rapporteres til Datatilsynet, kundene varsles umiddelbart og får støtte til å kontrollere kontoene sine og bytte passord.

Vet dere hva dere faktisk må gjøre innen 72 timer ved et personvernbrudd? Mange oppdager for sent at rutinene ikke er gode nok. Vi tar gjerne en prat rundt dette, det er bare å kontakte oss. 

Hvordan vurderer man om bruddet innebærer en risiko?

Risikovurderingen handler om å analysere både sannsynligheten for og alvorlighetsgraden av de negative konsekvensene for de berørte. Dette må gjøres raskt, men grundig.

Faktorer å vurdere:

• Type hendelse: Hva har skjedd? Har opplysningene gått tapt, blitt endret eller havnet hos uvedkommende? En feilutsendelse av sensitive opplysninger har andre konsekvenser enn at et datasystem er utilgjengelig.
• Opplysningenes karakter, sensitivitet og omfang: Jo mer sensitive opplysninger, desto større risiko. En kombinasjon av opplysninger, som ID-dokumenter og økonomiske data, kan øke risikoen for identitetstyveri. Stort omfang teller også. Gjelder det sensitive personopplysninger (f.eks. helseopplysninger, seksuell legning, religiøs eller filosofisk overbevisning), må dere handle ekstra raskt.
• Identifiserbarhet: Hvor lett er det å identifisere enkeltpersoner med opplysningene? Er dataene kryptert eller pseudonymiserte, kan risikoen være lavere.
• Alvoret i konsekvensene for enkeltpersoner: Vurder om hendelsen kan føre til diskriminering, identitetstyveri, bedrageri, fysisk skade, psykisk stress eller omdømmetap.
• Hvem er berørt? Konsekvensene kan bli mer alvorlige dersom bruddet rammer særlig sårbare personer, som barn.

En godt dokumentert risikovurdering hjelper både i dialogen med Datatilsynet og når dere informerer de registrerte.

Når må de registrerte informeres?

Dersom bruddet medfører høy risiko for de registrertes rettigheter og friheter, må de også informeres – så snart som mulig. Hensikten er å gi dem mulighet til å beskytte seg.

Eksempler på når de registrerte må varsles:

• En liste med navn, fødselsnummer og innloggingsinformasjon spres på nettet
  
  
• Helseopplysninger eller politiske meninger lekker ut og kan skade integriteten

Dersom dere raskt har gjennomført tiltak som reduserer risikoen betydelig – for eksempel sperret kontoer, tilbakekalt tilgang eller dokumentert at informasjonen var kryptert – kan det i noen tilfeller være tilstrekkelig å kun rapportere til Datatilsynet.

Hvordan rapporterer man til Datatilsynet?

Dersom dere vurderer at bruddet er rapporteringspliktig, skal det meldes til Datatilsynet via det digitale skjemaet i Altinn.

Rapporten skal inneholde:

• Hva som har skjedd – når og hvordan det ble oppdaget
  
  
• Hvilke personopplysninger og hvor mange personer som er berørt
  
  
• Sannsynlige konsekvenser for de registrerte
  
  
• Tiltak som er iverksatt eller planlagt
  
  
• Kontaktperson (f.eks. personvernombud eller ansvarlig leder. 

Skjemaet må sendes innen 72 timer etter at bruddet ble oppdaget. Hvis dere ikke har full oversikt ennå, kan dere sende en foreløpig rapport og ettersende utfyllende informasjon.

Viktig: Alle brudd – også de som ikke meldes – skal dokumenteres internt. Dette er en del av kravene til internkontroll etter GDPR og må kunne vises ved tilsyn.

Vanlige feil ved håndtering av brudd – og hvordan de kan unngås

Mange virksomheter gjør feil som forverrer situasjonen eller fører til kritikk eller sanksjoner. Vanlige feil er:

• Å vente for lenge med å rapportere til Datatilsynet og dermed miste fristen
  
  
• Å undervurdere risikoen og unnlate å informere de registrerte
  
  
• Å dokumentere bruddet for dårlig
  
  
• Å mangle en forhåndsdefinert plan for håndtering av brudd

For å unngå disse feilene er det avgjørende å ha tydelige rutiner, kontinuerlig opplæring av ansatte og et støttesystem som hjelper dere å håndtere brudd strukturert.

Fordelene med å bruke et verktøy for håndtering av brudd

Å håndtere et brudd på personopplysningssikkerheten krever både hurtighet og presisjon. For mange organisasjoner er det utfordrende å ha full kontroll på alle trinn: dokumentere hendelsen, gjøre en risikovurdering, vurdere rapporteringsplikt og eventuelt informere de registrerte – alt innen 72 timer.

Med et dedikert verktøy for hendelseshåndtering blir prosessen både enklere og mer pålitelig.

Et godt verktøy hjelper dere med å:

• Få en tydelig struktur for hele utredningen – fra oppdagelse til tiltak
  
  
• Automatisk holde oversikt over frister og dokumentasjonskrav
  
  
• Samle all informasjon på ett sted, så ingenting forsvinner
  
  
• Skape en enhetlig prosess som hele organisasjonen kan følge

På den måten unngår dere stress og usikkerhet når noe skjer, og dere kan være trygge på at dere handler i tråd med GDPR. Dere sparer tid, minimerer feil og kan lettere vise tilsynsmyndigheten at dere har hatt kontroll.

FAQ: Personvernbrudd og rapportering

1. Må alle personvernbrudd rapporteres til Datatilsynet?
Nei, kun brudd som medfører risiko for de registrerte må rapporteres. Likevel er terskelen lav, så de fleste brudd skal meldes.

2. Hva er fristen for å rapportere et brudd?
Dere må melde bruddet til Datatilsynet innen 72 timer etter at det ble oppdaget.

3. Når må de registrerte informeres?
Dersom bruddet medfører høy risiko for de registrertes rettigheter og friheter, må de varsles så raskt som mulig.

4. Må vi dokumentere brudd som ikke rapporteres?
Ja. Alle brudd skal dokumenteres internt, også de som ikke meldes til Datatilsynet.

5. Hva er den vanligste feilen virksomheter gjør?
Å undervurdere risikoen eller bruke for lang tid på å vurdere og rapportere bruddet.

6. Hva bør dere ha på plass før et brudd skjer?
Tydelige rutiner, en ansvarlig rolle, og en strukturert prosess for vurdering, dokumentasjon og rapportering.

Håndter brudd på personopplysningssikkerheten raskt og trygt

 Brudd på personopplysningssikkerheten skjer ofte plutselig og uventet – og krever raske, veloverveide beslutninger. Så snart et brudd oppdages, må det undersøkes internt og dere må vurdere om det skal rapporteres til Datatilsynet og om de registrerte må varsles.

Med våre verktøy og moduler kan du enkelt gjennomføre utredningen raskere, med korrekt og komplett dokumentasjon.

En helhetlig løsning for personvern kan hjelpe deg med å:

• Dokumentere brudd på en strukturert og sporbar måte
  
  
• Rapportere brudd til tilsynsmyndigheten i henhold til GDPR artikkel 33
  
  
• Informere de registrerte når det kreves i henhold til artikkel 34
  
  
• Følge opp og analysere hendelser for å forbedre rutinene

Med tydelige rutiner og et verktøy for å oppdage og undersøke personvernbrudd, har dere allerede gjort halve jobben. Når et brudd først skjer, kan dere raskt kartlegge hva som har skjedd, hvor mange som er berørt, hvilke risikoer som finnes og hvilke tiltak som må iverksettes.

Vil du vite mer, eller spare rundt personvernarbeidet deres? Book en uforpliktende gjennomgang dag og se hvordan dere kan håndtere personvernbrudd raskt, trygt og i full overensstemmelse med GDPR.