When do you need to notify a data breach?

Har personopplysningene du behandler blitt tapt, stjålet eller kompromittert?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Do I need to carry out a DPIA?

Yes, you need to carry out the DPIA

Any high risks remaining after the DPIA?

Do I need to carry out a DPIA?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Databrudd kan være skadelige for virksomheten din. Du risikerer å bli påført et økonomisk tap, bøteleggelse og at tilliten kundene dine har til deg blir svekket. Dermed kan databruddet medføre store konsekvenser. Det er derfor viktig å implementere gode retningslinjer og rutiner for å forebygge uønskede sikkerhetshendelser. Selv om dette er på plass risikerer du å bli utsatt for et databrudd som du er forpliktet til å melde fra om til din nasjonale tilsynsmyndighet (DPA) eller kommunisere ut til personene som er berørt. 

Hva er et "brudd på personopplysningssikkerheten" (avvik)

Et brudd på personopplysningssikkerheten er «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Virksomheter bør være oppmerksomme på at et brudd på personopplysningssikkerheten kan medføre mye større konsekvenser enn selvet «tapet» av personopplysninger. Brudd på personopplysningssikkerheten inkluderer hendelser som påvirker konfidensialiteten, integriteten eller tilgjengeligheten av personopplysninger. Merk at slike databrudd inkluderer sikkerhetshendelser som har oppstått ved et uhell (for eksempel ved å sende e-post til feil mottaker, miste en minnepinne med kundedata, eller ved en feil slette helseopplysninger uten å ha en tilgjengelig sikkerhetskopi), samt tilfeller som har oppstått gjennom tilsiktede handlinger (for eksempel et phishing-angrep hvor uvedkommende får tilgang til kundedata). 

Med andre ord omfattes situasjoner hvor en person får tilgang til personopplysninger eller sender dem videre uten å ha riktig autoritasjon, eller hvor personopplysninger gjøres utilgjengelig som følge av løsepengevirus eller utilsiktet tap eller ødeleggelse. Selv om alle brudd på personopplysningssikkerheten er databrudd, vil ikke alle databrudd være brudd på personopplysningssikkerheten (siden det ikke nødvendigvis trenger å være personopplysninger involvert i databruddet).

Den behandlingsansvarliges plikter

Hvis din virksomhet fungerer som en behandlingsansvarlig, er det tre hovedprinsipper i forbindelse med databrudd: 

  1. Dokumentasjon av avviket.
  2. Innsending av  avviksmelding til den relevante tilsynsmyndigheten (DPA) innen 72 timer, med mindre det ikke er sannsynlig at bruddet vil medføre en risiko for enkeltpersoner.
  3. Informasjon til berørte personer om avviket uten unødig forsinkelse, gitt at avviket kan medføre høy risiko for deres rettigheter og friheter. 

Det er av svært viktig at den behandlingsansvarlige forstår og overholder disse forpliktelsene, og på forhånd implementerer egnede tiltak som gjør det mulig å innen rimelig tid foreta en objektiv vurdering av hvordan et eventuelt databrudd skal følges opp. 

I alle tilfeller – selv når det ikke er nødvendig å melde fra om avviket til tilsynsmyndigheten fordi det blir ansett å være usannsynlig at avviket kan medføre en risiko for den registrerte – må den behandlingsansvarlige dokumentere avviket, dets virkninger og hvilke tiltak som har blitt iverksatt som følge av avviket, slik det er påkrevd i GDPR art. 33 (5). 

Hva må gjøres og hvordan går man fram?

 

Meld fra om avviket til den relevante tilsynsmyndigheten

I henhold til GDPR artikkel 33 (1)skal alle avvik meldes fra om til den relevante tilsynsmyndigheten, med unntak av avvik som sannsynligvis ikke vil medføre en risiko for berørte personer. For å gjøre denne varslingen enklere har nasjonale tilsynsmyndigheter implementert prosedyrer eller elektroniske skjema som veileder deg slik at du gir all nødvendig informasjon.

Hvis avviket finner sted i forbindelse med en grenseoverskridende behandling og varsling er nødvendig, må behandlingsansvarlige som er etablert i EØS varsle den ledende tilsynsmyndigheten. Derfor må den behandlingsansvarlige allerede ved utarbeidelsen av en responsplan på databruddet foreta en vurdering av hvilken tilsynsmyndighet som er ledende tilsynsmyndighet. Hvis den behandlingsansvarlige er i tvil om hvem som er ledende tilsynsmyndighet, må man i det minste underrette den lokale tilsynsmyndigheten hvor databruddet har funnet sted. 

Dersom det kreves avviksmelding, skal dette skje så snart som mulig og senest innen 72 timer etter at bruddet ble oppdaget. Dersom dette ikke er mulig, må den behandlingsansvarlige begrunne forsinkelsen. Virksomheten betraktes som å ha blitt «bevisst» på bruddet når det foreligger en rimelig grad av sannsynlighet for at et databrudd har skjedd og personopplysninger kan ha blitt kompromittert. 

For å kunne påvise overfor tilsynsmyndigheten når og hvordan virksomheten ble oppmerksom på et brudd på personopplysningssikkerheten, anbefales det at alle virksomheter, som en del av sine interne retningslinjer og rutiner, har et system på plass for å registrere hvordan og når man ble gjort oppmerksom på avviket og en vurdering av den potensielle risikoen forbundet med avviket.

Dersom det ikke er mulig å gi alle relevante opplysninger til tilsynsmyndigheten innen 72-timersfristen, bør avviksmeldingen sendes inn i flere omganger. Den første meldingen må sendes innen 72-timersfristen, og ytterligere opplysninger kan ettersendes.
I henhold til GDPR artikkel 33 (2) gjelder tilsvarende regler dersom din virksomhet er en databehandler som behandler personopplysninger på vegne av en annen virksomhet. Da må du varsle den behandlingsansvarlige virksomheten om eventuelle brudd på personopplysningssikkerheten uten unødig opphold. Dette er avgjørende for at den behandlingsansvarlige skal kunne overholde sine varslingsforpliktelser. Krav knyttet til avviksrapportering bør beskrives i kontrakten mellom den behandlingsansvarlige og databehandleren, i henhold til GDPR art. 28. 

En avviksmelding til tilsynsmyndigheten skal som minimum: 

  • Beskrive arten av personopplysningsbruddet, herunder, dersom det er mulig, hvilke kategorier av personer som er berørt og omtrent hvor mange de er, samt hvilke kategorier personopplysninger som er berørt og omtrent hvor mange det er. 
  • Kommunisere navn og kontaktinformasjon til personvernombudet (DPO) eller et annet kontaktpunkt der mer informasjon kan innhentes.
  • Beskrive de sannsynlige konsekvensene av databruddet.
  • Beskrive de tiltakene som virksomheten har iverksatt eller vurdert å iverksette for å håndtere avviket, herunder eventuelle tiltak for å begrense mulige skadevirkninger.

Informasjon om avviket til personene som er berørt

I tillegg må enkelte brudd på personopplysningssikkerheten varsles om til de berørte personene uten unødig opphold. Dette er tilfelle når personopplysningsbruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter.

Hensikten med dette kravet er å sikre at personene som er berørt kan ta nødvendige forholdsregler der det har skjedd hendelser som sannsynligvis vil medføre høy risiko for dem.

En slik kommunikasjon til berørte personer må gjøres umiddelbart og, der det er hensiktsmessig, i nært samarbeid med tilsynsmyndigheten. I tilfeller der det er behov for å redusere en umiddelbar risiko for enkeltpersoner, vil det være nødvendig med rask kommunikasjon.

Det finnes omstendigheter der den behandlingsansvarlige ikke er pålagt å varsle enkeltpersoner, for eksempel når:

  • Den behandlingsansvarlige hadde kryptert dataene og krypteringsnøklene ikke har blitt kompromittert.
  • Den behandlingsansvarlige har iverksatt etterfølgende tiltak som medfører at det ikke lenger er sannsynlig at den høye risikoen for enkeltpersoners rettigheter og friheter vil materialisere seg.Det vil innebære uforholdsmessig stor innsats å varsle berørte personer om avviket. I et slikt tilfelle må imidlertid den behandlingsansvarlige fortsatt sørge for at berørte personer blir informert gjennom offentlig kommunikasjon eller på en lignende måte som er like effektiv.

Kommunikasjonen til berørte personer skal på en klar og tydelig måte beskrive arten av bruddet på personopplysningssikkerheten og bør som et minimum inneholde følgende opplysninger: 

  • Navn og kontaktopplysninger til personvernombudet eller et annet kontaktpunkt der det kan innhentes mer informasjon.
  • En beskrivelse av de sannsynlige konsekvensene av avviket.
  • En beskrivelse av tiltakene som er iverksatt eller vurdert av virksomheten for å håndtere avviket, herunder eventuelle tiltak for å redusere mulige skadevirkninger.
  • Kommunikasjonen bør også inneholde anbefalinger til de berørte personene om hvordan de kan redusere potensielle skadevirkninger som følge av databruddet.

Behandlingsansvarlige og databehandlere oppfordres til å opptre føre-var. Dette gjøres ved å planlegge for avvik og iverksette tiltak som kan oppdage og umiddelbart begrense konsekvensene av avvik. Man må også legge til rette for å vurdere risikoen et avvik kan ha for enkeltpersoner og foreta raske avgjørelser om hvorvidt det er nødvendig å varsle tilsynsmyndigheten eller personene som er berørt.

Når må du melde fra om et avvik?

Når må du melde fra om et avvik?