Personvernavvik melding Norge

Personvernavvik melding i Norge er en obligatorisk melding som behandlingsansvarlig plikter å sende Datatilsynet senest 72 timer etter å ha fått kjennskap til et brudd på personopplysningssikkerheten, etter personvernforordningen (GDPR) artikkel 33. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Et brudd på personopplysningssikkerheten er etter personvernforordningen (GDPR) artikkel 4 nr. 12 et sikkerhetsbrudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger.

72-timersfristen er absolutt. Meldeplikten til Datatilsynet inntrer uten ugrunnet opphold og senest 72 timer etter at brudd ble oppdaget, med mindre det er usannsynlig at bruddet medfører en risiko for fysiske personers rettigheter og friheter. «Oppdaget» regnes fra det tidspunktet behandlingsansvarlig (eller databehandler etter personvernforordningen (GDPR) artikkel 28) fikk rimelig sikkerhet for at et brudd hadde inntruffet. Det er ikke nødvendig å ha full oversikt over alle detaljer ved bruddet innen 72 timer; en foreløpig melding kan suppleres med ytterligere opplysninger etterpå.

Tre typer brudd kjennetegner personvernavvik etter personvernforordningen (GDPR) artikkel 4 nr. 12. Konfidensialitetsbrudd innebærer uautorisert utlevering av eller tilgang til personopplysninger, for eksempel datalekkasje til internett, hacking eller utilsiktet utsendelse av e-post til feil mottaker. Integritetsbrudd innebærer uautorisert eller utilsiktet endring av personopplysninger, for eksempel ransomware som krypterer og endrer opplysninger. Tilgjengelighetsbrudd innebærer utilsiktet tap av eller ødeleggelse av opplysninger, for eksempel systemkrasj uten sikkerhetskopiering eller utilsiktet sletting.

Risikovurderingen er sentral for om meldeplikt foreligger og for om de registrerte skal varsles. Behandlingsansvarlig skal vurdere sannsynligheten for og alvorligheten av risikoen for de registrertes rettigheter og friheter. Faktorer som inngår i risikovurderingen er kategoriene av personopplysninger som er berørt (særlige kategorier etter artikkel 9 medfører høyere risiko), antall registrerte, sannsynligheten for identifikasjon, og den berørte persongruppen (sårbare grupper som barn medfører høyere risiko). Der risikoen er usannsynlig, er det ikke meldeplikt.

Varsling av registrerte er obligatorisk ved høy risiko. Etter personvernforordningen (GDPR) artikkel 34 skal behandlingsansvarlig varsle de berørte registrerte uten ugrunnet opphold der bruddet sannsynligvis vil medføre en høy risiko for de registrertes rettigheter og friheter. Varslingen skal beskrive bruddets art, gi kontaktopplysninger, beskrive sannsynlige konsekvenser og de tiltak som er truffet. Varslingen kan unnlates der opplysningene var kryptert, eller der tiltak er truffet som gjør høy risiko usannsynlig.

Forskjellene mot beslektede dokumenter er tydelige. Personvernavvik meldingen er pliktig rapport til Datatilsynet ved konkret avvik, mens personvernerklæringen er en generell informasjonstekst og databehandleravtalen regulerer relasjonen til databehandlere. Det videre forms-legal.com biblioteket inneholder maler for alle disse dokumentene.

Personvernavvik melding til Datatilsynet i Norge trengs i alle situasjoner der en behandlingsansvarlig oppdager et brudd på personopplysningssikkerheten som medfører en risiko for de registrertes rettigheter og friheter, etter personvernforordningen (GDPR) artikkel 33.

Datalekkasje og hacking. Dersom en virksomhets systemer er angrepet av hackere og personopplysninger er eksponert for uautoriserte, er meldeplikten til Datatilsynet utløst. Ransomware-angrep, SQL-injeksjoner og utnyttelse av sikkerhetshull er vanlige årsaker til datalekkasjer. 72-timersfristen begynner å løpe fra det tidspunktet virksomheten oppdager angrepet. En foreløpig melding kan gis innen fristen, og suppleres med ytterligere opplysninger etterpå.

Feilsendt e-post med personopplysninger. Utilsiktet utsendelse av e-post med personopplysninger til feil mottaker er et konfidensialitetsbrudd som kan utløse meldeplikt. Risikovurderingen er avgjørende: en e-post med navn og adresse sendt til en enkelt feil mottaker i en etablert bedrift medfører sannsynligvis lav risiko og utløser ikke meldeplikt. En masseutsendelse med sensitive personopplysninger til mange feil mottakere, eller e-post til kriminelle aktører, utløser derimot meldeplikt.

Tyv av datamaskiner eller mobile enheter. Tyveri av en laptop, mobiltelefon eller USB-minne med personopplysninger er et potensielt brudd. Risikovurderingen avhenger av om enheten er kryptert og passordbeskyttet (lav risiko) eller ukryptert (høy risiko). For ukrypterte enheter med sensitive personopplysninger vil meldeplikt normalt foreligge.

Skadevare og ransomware. Ransomware-angrep medfører som regel et integritets- og tilgjengelighetsbrudd. Meldeplikt utløses selv om opplysningene kun er kryptert av angriperen og ikke nødvendigvis eksfiltrert, fordi tilgjengeligheten til opplysningene er brutt. Virksomheten bør også vurdere om opplysningene faktisk er eksfiltrert, da eksfiltrering medfører høyere risiko.

Uriktig eller utilsiktet offentliggjøring. Utilsiktet publisering av personopplysninger på et nettsted, deling av en fil med feil tilgangsinnstillinger i et skytjenestesystem, eller feilkonfigurasjon av et system som gjør personopplysninger offentlig tilgjengelige, er konfidensialitetsbrudd som kan utløse meldeplikt. Datatilsynet har i veiledning understreket at slike konfigurasjonsfeil er en vanlig årsak til avvik.

Insiderhendelser og misbruk av tilgang. En ansatt som uautorisert kopierer, eksporterer eller deler personopplysninger med uvedkommende, er et konfidensialitetsbrudd. Virksomheten skal vurdere om dette utgjør en risiko for de registrerte og om meldeplikt er utløst. Systematisk misbruk fra en insider kan utgjøre en høy risiko.

Utilsiktet sletting eller tap av opplysninger. Utilsiktet sletting av personopplysninger uten sikkerhetskopiering, systemkrasj som medfører permanent tap av opplysninger, eller feil i backup-prosessen, er tilgjengelighetsbrudd som kan utløse meldeplikt. Risikoen er størst der opplysningene ikke kan gjenopprettes og der tapet medfører negative konsekvenser for de registrerte.

En komplett Personvernavvik melding Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 33 og personopplysningsloven (2018).

Treatlingsansvarliges identifikasjon. Meldingen skal identifisere behandlingsansvarlig med navn, organisasjonsnummer og kontaktopplysninger etter personvernforordningen (GDPR) artikkel 33 nr. 3 bokstav a. Kontaktpersonen for oppfølging fra Datatilsynet, gjerne personvernombud eller ansvarlig for informasjonssikkerhet, skal angis med navn, tittel og e-post.

Avvikets art, type og tidspunkt. Meldingen skal beskrive avvikets art, herunder kategoriene av berørte personopplysninger og registrerte etter personvernforordningen (GDPR) artikkel 33 nr. 3 bokstav a. Typen brudd — konfidensialitetsbrudd, integritetsbrudd eller tilgjengelighetsbrudd — skal angis. Tidspunkt for avviket og tidspunkt for oppdagelsen skal angis, da 72-timersfristen regnes fra oppdagelsestidspunktet.

Omfang og sannsynlige konsekvenser. Meldingen skal angi anslått antall berørte registrerte og anslått antall berørte personopplysningsposter etter personvernforordningen (GDPR) artikkel 33 nr. 3 bokstav c. De sannsynlige konsekvensene av bruddet for de registrerte skal beskrives etter bokstav d, herunder risiko for identitetstyveri, finansiell skade, diskriminering eller andre ulemper. Risikovurderingen er avgjørende for om de registrerte skal varsles etter artikkel 34.

Trufne og planlagte tiltak. Meldingen skal beskrive de tiltak som er truffet eller foreslås for å håndtere bruddet og redusere konsekvensene etter personvernforordningen (GDPR) artikkel 33 nr. 3 bokstav d. Konkrete tiltak som retting av konfigurasjonsfeil, varsling av berørte, endring av passord og sikkerhetsgjennomgang er relevante. Planlagte tiltak for å forebygge gjentakelse bør også beskrives.

Varsling av registrerte. Meldingen bør angi om de registrerte er varslet etter personvernforordningen (GDPR) artikkel 34, og i så fall innholdet i varslingen. Dersom de registrerte ikke er varslet, bør risikovurderingen begrunne dette. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.

Foreløpig melding og supplering. Personvernforordningen (GDPR) artikkel 33 nr. 4 tillater en foreløpig melding innen 72-timersfristen, som suppleres med ytterligere opplysninger i etterkant. En foreløpig melding bør angi hva som er kjent på meldingstidspunktet og at ytterligere opplysninger følger. Datatilsynet har en digital meldingsportal på datatilsynet.no der avvik kan meldes.

Intern dokumentasjon. Behandlingsansvarlig skal etter personvernforordningen (GDPR) artikkel 33 nr. 5 dokumentere alle brudd på personopplysningssikkerheten, uavhengig av om de medfører meldeplikt. Dokumentasjonen skal inneholde faktaopplysningene om bruddet, de trufne tiltakene og risikovurderingen, og skal gjøres tilgjengelig for Datatilsynet ved kontroll. Meldingen til Datatilsynet kan utgjøre en del av denne dokumentasjonen.

Å fylle ut en Personvernavvik melding Norge korrekt krever at man følger trinnene nedenfor systematisk, slik at meldingen oppfyller kravene etter personvernforordningen (GDPR) artikkel 33 og overholdes innen 72-timersfristen.

Trinn 1 — Handle raskt innen 72 timer. Straks et avvik er oppdaget, bekreft at det foreligger et brudd etter personvernforordningen (GDPR) artikkel 4 nr. 12 og igangsett umiddelbare tiltak for å stoppe og begrense bruddet. Avklar hvem som er ansvarlig for å melde avviket og hvem som koordinerer håndteringen. 72-timersfristen begynner å løpe fra det tidspunktet virksomheten har rimelig sikkerhet for at et brudd har inntruffet.

Trinn 2 — Angi behandlingsansvarliges opplysninger. Oppgi virksomhetens fulle navn etter Foretaksregisteret, organisasjonsnummer (ni sifre) og adresse. Oppgi navn, tittel og e-post til kontaktpersonen for oppfølging fra Datatilsynet, fortrinnsvis personvernombud eller ansvarlig for informasjonssikkerhet.

Trinn 3 — Beskriv avvikets art og tidspunkt. Velg type brudd (konfidensialitetsbrudd, integritetsbrudd eller tilgjengelighetsbrudd) og beskriv hva som skjedde, årsaken og hvilke systemer eller datakilder som var involvert. Oppgi dato for avviket og dato for oppdagelsen i format DD.MM.ÅÅÅÅ. Vær konkret og presis i beskrivelsen.

Trinn 4 — Angi kategorier av berørte opplysninger og registrerte. Beskriv kategoriene av berørte personopplysninger, og angi eksplisitt om særlige kategorier etter personvernforordningen (GDPR) artikkel 9 (helse, religion, etnisitet o.l.) er berørt. Angi anslått antall berørte registrerte. Det er tilstrekkelig med et estimat; nøyaktig tall er ikke nødvendig innen 72 timer.

Trinn 5 — Vurder sannsynlige konsekvenser. Beskriv de sannsynlige konsekvensene for de registrerte, herunder risiko for identitetstyveri, finansiell skade, diskriminering, omdømmeskade eller andre ulemper. Risikovurderingen er avgjørende for om de registrerte skal varsles etter personvernforordningen (GDPR) artikkel 34.

Trinn 6 — Beskriv trufne tiltak. Beskriv konkrete tiltak som allerede er iverksatt for å håndtere bruddet og redusere konsekvensene, for eksempel lukking av sikkerhetshull, endring av passord, varsling av berørte, isolering av kompromitterte systemer. Beskriv planlagte tiltak for å forebygge gjentakelse.

Trinn 7 — Angi om de registrerte er varslet. Angi om berørte registrerte er varslet etter personvernforordningen (GDPR) artikkel 34 og hva varslingen inneholdt. Dersom varsling ikke er gitt, angi risikovurderingen som begrunner dette.

Trinn 8 — Send meldingen til Datatilsynet og behold dokumentasjon. Send meldingen digitalt via datatilsynet.no. Behold intern dokumentasjon på avviket, risikovurderingen og tiltakene etter personvernforordningen (GDPR) artikkel 33 nr. 5. Datatilsynet kan etterspørre ytterligere opplysninger, og virksomheten bør svare raskt på slike forespørsler.

Trinn 9 — Suppler meldingen med ytterligere opplysninger. Dersom ikke alle opplysningene er tilgjengelige innen 72 timer, send en foreløpig melding og suppler med ytterligere opplysninger etter hvert som de blir tilgjengelige, etter personvernforordningen (GDPR) artikkel 33 nr. 4.

Personvernavvik melding Norge er regulert av personvernforordningen (GDPR) artiklene 33 og 34, personopplysningsloven (2018) og tilgrensende norsk lovgivning som fastlegger pliktene og konsekvensene ved brudd.

Meldeplikt etter personvernforordningen (GDPR) artikkel 33. Den behandlingsansvarlige skal etter artikkel 33 nr. 1 uten ugrunnet opphold og om mulig senest 72 timer etter å ha fått kjennskap til et brudd på personopplysningssikkerheten, melde dette til Datatilsynet. Meldeplikten gjelder med mindre det er usannsynlig at bruddet medfører en risiko for fysiske personers rettigheter og friheter. Bevisbyrden for at risikoen er usannsynlig, ligger på den behandlingsansvarlige. En foreløpig melding etter artikkel 33 nr. 4 er tilstrekkelig dersom alle opplysningene ikke er tilgjengelige innen 72 timer.

Meldingens innhold etter personvernforordningen (GDPR) artikkel 33 nr. 3. Meldingen skal minst inneholde: (a) en beskrivelse av bruddets art, herunder kategoriene av og det omtrentlige antallet berørte registrerte og personopplysningsposter; (b) navn og kontaktopplysninger til personvernombud eller annet kontaktpunkt; (c) en beskrivelse av sannsynlige konsekvenser av bruddet; og (d) en beskrivelse av tiltakene som er truffet eller foreslås for å håndtere bruddet og eventuelt begrense dets negative virkninger.

Varsling av registrerte etter personvernforordningen (GDPR) artikkel 34. Der bruddet sannsynligvis vil medføre en høy risiko for de registrertes rettigheter og friheter, skal behandlingsansvarlig uten ugrunnet opphold varsle de berørte registrerte. Varslingen skal beskrive bruddets art, gi kontaktopplysninger, angi sannsynlige konsekvenser og beskrive trufne tiltak. Varsling kan unnlates der: (a) opplysningene er kryptert slik at de er uleselige for uvedkommende; (b) tiltak er truffet slik at høy risiko ikke lenger er sannsynlig; eller (c) varsling ville innebære uforholdsmessig innsats; i sistnevnte tilfelle skal offentlig kunngjøring brukes.

Definisjon av brudd etter personvernforordningen (GDPR) artikkel 4 nr. 12. Et brudd på personopplysningssikkerheten er et sikkerhetsbrudd som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er oversendt, lagret eller på annen måte behandlet. Bruddet kan være utilsiktet (menneskelig feil, teknisk svikt) eller forsettlig (hacking, misbruk).

Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført ved personopplysningsloven (2018). Datatilsynet er nasjonal tilsynsmyndighet og mottar avviksmeldinger via datatilsynet.no. Datatilsynets vedtak kan påklages til Personvernnemnda.

Databehandlers meldeplikt etter personvernforordningen (GDPR) artikkel 28 og 33 nr. 2. Databehandler skal uten ugrunnet opphold underrette behandlingsansvarlig etter å ha fått kjennskap til et brudd. Behandlingsansvarlig er da ansvarlig for å melde til Datatilsynet. Databehandleravtalen bør angi en kortere intern varslingsfrist, for eksempel 24 timer, for å sikre at behandlingsansvarlig kan overholde 72-timersfristen.

Intern dokumentasjonsplikt etter personvernforordningen (GDPR) artikkel 33 nr. 5. Behandlingsansvarlig skal dokumentere alle brudd, herunder faktaopplysninger om bruddet, virkningene av det og de trufne tiltakene, uavhengig av om bruddet medfører meldeplikt. Dokumentasjonen skal gjøres tilgjengelig for Datatilsynet ved kontroll og er grunnlaget for å demonstrere samsvar etter ansvarlighetsprinsippet i artikkel 5 nr. 2.

Sanksjoner etter personvernforordningen (GDPR) artikkel 83 og 84. Manglende overholdelse av meldeplikten etter artikkel 33, herunder oversittelse av 72-timersfristen, kan utløse overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global omsetning etter artikkel 83 nr. 4. Manglende varsling av registrerte etter artikkel 34 der dette er påkrevd kan gi overtredelsesgebyr på inntil 20 millioner euro eller 4 prosent av global omsetning etter artikkel 83 nr. 5.

Vanlige feil ved håndtering og melding av personvernavvik i Norge kan medføre at 72-timersfristen brytes, at meldingen er ufullstendig, eller at de registrerte ikke varsles når dette er obligatorisk.

Feil 1 — Oversittelse av 72-timersfristen. Den vanligste feilen er at virksomheter enten ikke oppdager avviket raskt nok, eller at de bruker for lang tid på intern behandling og utredning før de melder til Datatilsynet. Løsning: opprett en rutine for umiddelbar eskalering ved mistanke om avvik; send en foreløpig melding innen 72 timer der alle detaljer ikke er kjent, og suppler etter hvert.

Feil 2 — Manglende melding på grunn av feil risikovurdering. En vanlig feil er å vurdere at avviket ikke medfører risiko og dermed unnlate å melde, uten å dokumentere denne vurderingen. Løsning: gjennomfør alltid en dokumentert risikovurdering ved avvik; vurder særlig kategoriene av opplysninger, antall berørte og sårbarhet hos de berørte personene; ved tvil, meld til Datatilsynet.

Feil 3 — Ufullstendig melding. En melding som mangler sentrale elementer etter personvernforordningen (GDPR) artikkel 33 nr. 3, for eksempel manglende beskrivelse av konsekvenser eller tiltak, er ufullstendig. Datatilsynet vil be om supplerende opplysninger, noe som forsinker prosessen. Løsning: bruk meldingsskjemaet på datatilsynet.no og sørg for at alle obligatoriske felter er utfylt.

Feil 4 — Manglende varsling av registrerte ved høy risiko. Å unnlate å varsle berørte registrerte etter personvernforordningen (GDPR) artikkel 34 der bruddet medfører høy risiko, er et alvorlig brudd. Løsning: vurder alltid om de registrerte skal varsles, og foreta varslingen uten ugrunnet opphold der risikoen er høy; dokumenter vurderingen.

Feil 5 — Manglende intern dokumentasjon. Å unnlate å dokumentere avviket internt etter personvernforordningen (GDPR) artikkel 33 nr. 5 gjør at virksomheten ikke kan demonstrere samsvar ved Datatilsynets kontroll. Løsning: opprett et internt avviksregister der alle brudd dokumenteres, uavhengig av om meldeplikt foreligger; dokumenter faktaopplysningene, risikovurderingen og tiltakene.

Feil 6 — Ingen rutine for avvikshåndtering. Virksomheter uten en etablert rutine for avvikshåndtering oppdager avvik sent og håndterer dem ineffektivt, noe som øker risikoen for å bryte 72-timersfristen og for å undervurdere konsekvensene. Løsning: etabler en skriftlig rutine for avvikshåndtering som angir: hvem som skal kontaktes (personvernombud, ledelse, IT-sikkerhet), hva som skal gjøres (stopp brudd, kartlegg omfang, meld til Datatilsynet), og dokumentasjonskravene.

Feil 7 — Databehandler varsler ikke behandlingsansvarlig. Dersom databehandler ikke varsler behandlingsansvarlig raskt nok til at 72-timersfristen kan overholdes, er det behandlingsansvarlig som bærer det rettslige ansvaret. Løsning: sørg for at databehandleravtalen fastsetter en kortere intern varslingsfrist for databehandler, for eksempel 24 timer, og følg opp at databehandleren faktisk har rutiner for dette.