Hopp til innhold

Varsling til Datatilsynet ved personvernbrudd

Vi gjør oppmerksom på at denne artikkelen er mer enn ett år gammel og innholdet kan være utdatert.

Virksomheter som behandler personopplysninger, skal som hovedregel varsle Datatilsynet og de berørte der det har skjedd et brudd på personopplysningssikkerheten.

Forordningen stiller visse krav til hva varslet til Datatilsynet og den berørte skal inneholde. I denne artikkelen skal vi se nærmere på når Datatilsynet må varsles.

Slik går du fram

En virksomhet skal som utgangspunkt alltid varsle Datatilsynet innen 72 timer hvis det har skjedd et brudd på personopplysningsikkerheten. Virksomheten behøver imidlertid ikke å varsle Datatilsynet dersom det er usannsynlig at avviket vil bety en risiko for enkeltpersoners rettigheter eller personvern. Denne vurderingen bør dokumenteres og lagres slik at den er tilgjengelig ved et eventuelt tilsyn.
 
Varselet skal som hovedregel skje via Altinn. Datatilsynet kan imidlertid varsles først på telefon, dersom det er viktig at tilsynet raskt blir kjent med avviket. Om virksomheten ikke har all informasjon om sikkerhetsbruddet innen fristen, er det mulig å sende utfyllende informasjon til tilsynet i etterkant.

I hvilke tilfeller må Datatilsynet varsles?

Brudd på personopplysningsikkerheten kan eksempelvis skje der en virksomhet blir utsatt for hacking eller datainnbrudd, hvor e-poster er feilsendt, feil ved tilgangsstyring eller bærbar PC er gjenglemt på offentlig sted.

Når en virksomhet skal avgjøre om Datatilsynet skal varsles om et sikkerhetsbrudd, må virksomheten se på de konkrete omstendighetene rundt bruddet; hva slags personopplysninger gjelder det, hvem er rammet, hvor alvorlig er sikkerhetsbruddet og mulige virkninger av bruddet. 

Følgende er relevant når virksomheten skal vurdere om Datatilsynet skal varsles.

  • Er i det hele tatt noen personopplysninger som er rammet av sikkerhetsbruddet?
  • Hva slags type brudd har skjedd? Har bruddet medført at uvedkommende har fått tilgang til personopplysninger og/eller har opplysningene blitt gjort utilgjengelig for behandlingsansvarlig og/eller har uvedkommende endret eller slettet personopplysninger? (Brudd på konfidensialitet, tilgjengelighet og/eller integritet). At personopplysninger er blitt gjort tilgjengelig for uvedkommende er det mest alvorlige.
  • Personopplysningens art. Når en virksomhet skal vurdere risikoen av et brudd, vil det være nødvendig å se hen til kategorier av personopplysninger som er berørt. Sensitive personopplysninger, slik som helseopplysninger og fagforeningsmedlemskap, har etter forordningen krav på særlig beskyttelse. Det er langt større risiko knyttet til at sensitive personopplysninger kommer på avveie, enn personopplysninger som er offentlig kjent.
  • Hvor lett er det å identifisere enkeltpersoner.
  • Potensielle virkninger av bruddet. Hvor lett kan sikkerhetsbruddet føre til skader for den registrerte, eksempelvis i form av skade på omdømme, psykiske bekymringer og økonomisk tap (eksempelvis utpressing)? Kredittopplysninger er ikke definert som sensitive personopplysninger. Men det kan ha store skadevirkninger for den registrerte dersom slike opplysninger kommer på avveie sammen med sensitive personopplysninger og identifikasjonsopplysninger, fordi uærlige kan bruke slike opplysninger til svindel eller ID-tyveri.
  • Hvilke personer som rammes. Et brudd som omfatter personopplysninger om barn, andre sårbare enkeltpersoner eller særlige utsatte grupper, kan medføre større konsekvenser for disse.
  • Antall berørte enkeltpersoner. Generelt vil det være større konsekvenser jo flere som er berørt.
  • Spesielle egenskaper ved den behandlingsansvarlige. Datatilsynet og befolkningen stiller eksempelvis større krav til offentlige myndigheter, slik som kommuner og offentlige etater. Kunder har større forventninger til at deres personopplysninger er trygge hos finansinstitusjoner, og ansatte har en klar forventning om at arbeidsgiver skal holde deres personopplysninger utilgjengelige for utenforstående og kollegaer.

Usikker på regelverket rundt GDPR? Sticos tilbyr flere aktuelle nettkurs innen temaet, se utvalget her

Varslingsrutiner

For å sikre at virksomheten varsler Datatilsynet og de berørte til rett tid, er det viktig at virksomheten har rutiner for varsling. Kjør gjerne personvernøvelser for å sjekke om rutinene faktisk fungerer der det skjer sikkerhetsbrudd.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Følg Sticos på FacebookLinkedIn og meld deg på vårt nyhetsbrev

Hold deg oppdatert på relevant fagstoff

Våre nyhetsbrev inneholder aktueltsaker, produktinformasjon, invitasjoner til relevante kurs, seminarer og frokostmøter, samt gode råd og tips.