Forhåpentligvis er du blant dem som har etablert et internt regelverk for å følge bestemmelsene i personopplysningsloven der EUs personvernforordning (GDPR) er innlemmet. I den daglige virksomheten vil du testes for å se hvor effektivt regelverket er. Bedriften bør være forberedt på at det kan oppstå avvik og at slike tilfeller umiddelbart må meldes til Datatilsynet.
Datatilsynet definerer avvik som «brudd på personopplysningssikkerheten». Kravet i personopplysningsloven er at skriftlig melding om avvik skal sendes så snart som mulig og senest innen 72 timer. Du kan melde brudd om avvik til Datatilsynet gjennom Altinn.
Dersom bedriften utsettes for et sikkerhetsbrudd, skal man vurdere om det fører til risiko for at rettighetene til personer blir skadelidende. Er risikoen høy, bør det gis muntlig melding til Datatilsynet før den skriftlige, slik at tiltak kan iverksettes raskt.
Fysiske dokumenter er også utsatt for brudd
Selv om vi ofte forbinder GDPR med sikring av digitale personopplysninger, gjelder loven like mye for fysiske dokumenter. Vær særlig oppmerksom på at brudd kan oppstå når papirdokumenter kommer på avveie og at risikoen for det er stor.
Undersøkelser viser at om lag 40 prosent av meldte brudd kommer fra behandling av papirdokumenter. Mest typisk er at de kastes i papirkurven og havner i papiravfallet. Men de kan også komme på avveie når de blir gjenglemt ved printere og kopimaskiner, på møterom eller ved makuleringsmaskiner.
Les også: Sensitive data funnet i snøfonn: Kunne det skjedd med ditt firma?
Hva skal meldes?
Det er ikke alle brudd som skal meldes. Datatilsynet har derfor gitt noen råd om hvilke avvik det gjelder. Eksempler på brudd som gir meldeplikt er:
- hacking eller datainnbrudd der personopplysninger sannsynligvis eller utvilsomt har blitt hentet ut, endret på eller er utilgjengelige
- mislykket, mangelfull eller manglende tilgangsstyring slik at uvedkommende har fått tilgang til beskyttelsesverdige personopplysninger
- nettpublisering av personopplysninger som ikke skulle blitt publisert eller som ikke har blitt anonymisert
- fysiske innbrudd der ukrypterte digitale data eller papirdokumenter med personopplysninger har forsvunnet
- kaste/kvitte seg med opplysninger uten sletting eller makulering
Du må også melde inn til Datatilsynet dersom du har mistet/gjenglemt/forlagt:
- papirdokumenter
- laptop, nettbrett eller telefoner der innholdet ikke er kryptert
- minnepinner eller andre små lagringsmedier der innholdet ikke er kryptert
Les også: Hva er personopplysninger og sensitiv informasjon?
Informasjon til berørte
De som blir berørt av sikkerhetsbruddet skal også informeres hvis risikoen er høy for at deres rettigheter eller friheter krenkes. Det er en høyere terskel for informasjon til berørte enn til Datatilsynet. Melding til berørte er viktig for at de skal kunne foreta skadebegrensning når personopplysninger om dem har kommet på avveie.
Datatilsynet har utarbeidet flere guider i forbindelse med innføringen av GDPR. Blant dem er det også en guide for avvikshåndtering.
Hvis du ønsker å ta en ekstra sjekk på om regelverket dere har laget oppfyller kravene i den nye personopplysningsloven, kan du laste ned vår sjekkliste:
Dette blogginnlegget ble sist publisert 28. september 2017 og er senere oppdatert.
