Varsel om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp.

Her gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er også tatt inn mal for rutiner for personvernbrudd og varsel, samt arbeidsdokument for varsel, til slutt i artikkelen.

Hva krever varsel?

Det er brudd på personopplysningssikkerheten (personvernbrudd) som skal meldes. Etter personvernforordningen artikkel 4 nr. 12 er et personvernbrudd brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Et brudd på personopplysningssikkerheten, er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Personvernforordningen artikkel 4 nr. 12

Personvernbrudd vil altså være brudd på reglene etter personvernforordningen eller andre personvernregler, som fører til at enten personopplysninger kommer på avveie (brudd på konfidensialitet), at opplysningene endres eller slettes utilsiktet (brudd på integritet) eller at opplysningene ikke er tilgjengelige for dem de skal være tilgjengelig for når de skal være tilgjengelig (brudd på tilgjengelighet). Dette vil omfatte ganske mye, og som eksempel på personvernbrudd nevnes det i personvernforordningen: Tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen.

Selv om det står i artikkel 4 nr. 12 som er sitert ovenfor at personvernbrudd er brudd på sikkerheten «som fører til» skade mv., så må et personvernbrudd også omfatte det som kan føre til forhold. Det kreves ikke at det har oppstått en skade mv. er ikke forordningsteksten tilstrekkelig presis.

For mer om vurdering av hva som kan anses som et personvernbrudd, se Datatilsynets veileder  (Datatilsynet omtaler dette som «avvik») hvor det er tatt inn momenter og eksempler på hva som bør meldes. Datatilsynet har også opplyst at de vil komme med mer informasjon om hva som er nivået for å sende inn varsel senere.

Det følger av personvernforordningen at dersom personvernbruddet kan håndteres «på egnet måte og i rett tid» (fortalen punkt 85), så er varsel ikke nødvendig. Dette må innebære at om man klarer å eliminere risikoen for personvernet til den fysiske personen innen man skal varsle, så er ikke varsel nødvendig. Pga. tidsfristen er nok dette et veldig snevert unntak, men det kan tenkes situasjoner hvor det kan komme til anvendelse.

EUs personvernråd (EDPB) har også laget en veileder for når brudd på personvernet skal varsles til Datatilsynet og/eller den som personopplysningene gjelder (den registrerte) med eksempler på når varsel skal skje. Eksemplene i veilederen viser at det ikke skal skje varsel til Datatilsynet i alle tilfelle ved brudd på personvernet (kun bruddet sannsynligvis vil medfører risiko for personvernet) eller de personopplysninger gjelder (kun ved høy risiko for personvernet) etter GDPR artikkel 33 og 34.

Her er en oversikt over noen av eksemplene og om varsling er påkrevet. Merk at veiledningen inneholdt mer beskrivelse av bruddene som skal varsles, tiltak for å unngå bruddet, risikovurdering, risikoreduserende tiltak og plikter som kan være nyttige. Med «tilgang» nedenfor menes er tilgang til personopplysninger for uvedkommende (uautoriserte, som f.eks. utpressere/hackere. Særlige kategorier personopplysninger er opplysninger som listet opp i GDPR artikkel 9, som helseopplysninger.

* Er kun føring i intern logg/register

Hvem skal varsle?

Det er den behandlingsansvarlige som skal varsle, se artikkel 33 i personvernforordningen. Allikevel har Datatilsynet lagt opp i skjemaet om varsel i Altinn at databehandleren også kan varsle (som er noe merkelig, siden det ikke er noen hjemmel for slikt varsel, og det er ofte regulert i databehandleravtaler at databehandleren ikke skal varsle).

Har den behandlingsansvarlige utnevnt personvernombud, bør personvernombudet involveres i arbeidet med og vurderingen av om det skal varsles personvernbrudd.

Fristen for å varsle

Det skal varsles uten ugrunnet opphold og om mulig innen 72 timer fra «den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten». Siden det brukes «om mulig» og «bør» i bestemmelsen, er nok ikke denne fristen så absolutt at det kan ilegges en bot dersom man oversitter fristen (Datatilsynet skriver «senest innen 72 timer» sin veiledning, men det stemmer ikke med ordlyden i personvernforordningen). Men fristen bør søkes å holdes, og kan den ikke holdes, så bør det oppgis årsaken til forsinkelsen i meldingen. Merk også at informasjon kan gis trinnvis, slik at behandlingansvarlig kan gi informasjon løpende så snart denne har denne.

Man skal også være klar over at det her er snakk om 72 timer uavhengig av om det er helg, ferie, helligdager mv., dvs. 72 timer er 72 timer uansett i denne sammenheng. Det kan være hensiktsmessig å ha klart for seg når det skal skrive leveranse- og databehandleravtaler med leverandører.

Utgangspunktet for fristen er når den behandlingsansvarlige «får kjennskap» til bruddet. Det står i personvernforordningen at man skal undersøke om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak (dvs. informasjonsikkerhetstiltakene) er blitt gjennomført for omgående å kunne fastslå om det har skjedd et personvernbrudd, og at Datatilsynet derfor skal varsles. Datatilsynet skal så vurdere om varsel er gitt «uten ugrunnet opphold» og ta da hensyn til «arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte». Med andre ord er det en relativitet i vurderingen av «uten ugrunnet opphold» ved at ved en alvorlig hendelse så stilles det strengere krav til om varselet er sendt «uten ugrunnet opphold». Det er imidlertid vanskelig å se hvordan en slik vurdering ikke skal få et «etterpåklokskapens lys».

Ofte vil den behandlingsansvarlige få kjennskap til personvernbruddet gjennom å bli informert av databehandler. Databehandler skal informere den behandlingsansvarlig uten ugrunnet opphold etter databehandleren har fått kjennskap til bruddet selv, se personvernforordningen artikkel 33 nr. 2.

Hvordan gis varselet?

Varsel til Datatilsynet skal gis i Altinn, som kan gjøres her:

https://info.altinn.no/skjemaoversikt/datatilsynet/melding-om-avvik-datatilsynet/

Merk at det er person som har rettigheter til Altinn som «Utfyller/innsender» på vegne av virksomheten som kan sende inn meldingen i Altinn. Dette er normalt daglig leder/administrerende direktør, styrets leder, kontaktperson i offentlig virksomhet mv. Det bør være testet ut at en person i virksomheten har rettigheter til å sende varsel til Datatilsynet i Altinn før det er nødvendig å sende inn varsel. Å vente til varsel skal sendes inn og det er kort tid igjen av fristen kan innebære en unødvendig risiko.

Dersom det synes å være et omfattende personvernbrudd, kan det også opprettes kontakt med Datatilsynet før varsel sendes inn, enten på epost, telefon eller møter.

Husk at et varsel kan inneholde sensitive opplysninger om informasjonssikkerhet og registrerte. Siden Datatilsynet er omfattet av offentlighetsloven, bør man vurdere å be om at meldingen blir unntatt offentlighet. Dette kan f.eks. inntas på følgende måte: «Unntatt fra offentlighet jf. offentlighetslovens § 13, jf. forvaltningslovens § 13 siden meldingen inneholder forhold om personlige forhold og/eller bedriftshemmeligheter, herunder informasjon om tekniske innretninger og forhold av betydning for informasjonssikkerheten i virksomheten.» Siden denne informasjonen ikke passer i noen av feltene i meldingen i Altinn, må dette kunne legges i siste feltet om kontaktinformasjon.

Varsel til de som personopplysningene omfattet av bruddet knytter seg til (de registrerte) må varsles på den måte som er mest hensiktsmessig ut fra hvem dette er. Informasjonen som gis skal da beskrive bruddet, kontaktopplysningene til personvernombudet/annet kontaktpunkt der mer informasjon kan innhentes, sannsynlige konsekvenser av bruddet og tiltak som er/skal treffes for å håndtere bruddet, se GDPR artikkel 34. Datatilsynet kan pålegge at det informeres om det ikke er gjort.

Man trenger ikke å varsle disse personene om det er gjort tiltak for å sikre de berørte opplysningene eller reduserer risikoen for personvernet, eller informering innebærer uforholdsmessig stor innsats. I sistnevnte tilfelle skal informasjonen gjøres offentlig tilgjengelig eller det gjøres andre tiltak som sikrer informering.

Rutiner for personvernbrudd og varsling

Når det foreligger et personvernbrudd, og det skal innhentes informasjon, undersøkes hva som er skjedd, vurdere om det skal varsles mv. Det er mye som skal gjøres på knapp tid, og som bør gjøres riktig. I slike situasjoner vil det kreves å ha rutiner og prosedyrer å støtte seg på, og det bør være gjennomført tester («generalprøve») i forkant, for å kunne gjennomføre det som må gjøres og kontrollere at alt nødvendig er gjort. Det er derfor en klar anbefaling at virksomheten har utarbeidet rutiner for varsling av personvernbrudd.

Det bør også vurderes å ha prosedyrer for at alle personvernbrudd skal varsles internt, og at personvernombud og/eller ledelsen så skal vurdere om Datatilsynet skal varsles. Ved å ikke ha noen nedre terskel på varsel, vil man sikre at alle forhold kommer til beslutningstaker, og rette vedkommende fatter beslutningen om Datatilsynet skal varsles.

Her kan det lastes ned mal for rutiner for personvernbrudd og varsling. Merk at disse bør tilpasses virksomheten.

Personvernbrudd og varsling – rutiner

Arbeidsdokument for varsel

Varsel skal gis i Altinn, men det er vanskelig å arbeide på informasjonen i Altinn (for å ikke snakke om å dele informasjonen og samarbeide på innholdet. Jeg har derfor laget et arbeidsdokument som kan benyttes ved forarbeidet før varsel legges inni Altinn og sendes til Datatilsynet.

Last ned dokumentet her:

Arbeidsdokument varsel til Datatilsynet