Hva er et avvik personvern?

Hva er et avvik personvern: Varslingsplikt og frist

Et hva er et avvik personvern oppstår når personopplysninger blir utsatt for tap, uautorisert tilgang, endring eller annen svikt i sikkerheten. Virksomheter må vurdere risikoen, dokumentere hendelsen og avgjøre om den skal meldes til Datatilsynet eller de berørte personene.

Hva er et avvik personvern?

Et avvik innen personvern, ofte omtalt som brudd på personopplysningssikkerheten, oppstår når personopplysninger går tapt, blir endret, slettet eller havner på avveie ved et uhell eller gjennom ulovlig aktivitet. Dette betyr i praksis at uvedkommende har fått tilgang til taushetsbelagt informasjon som de ikke skal ha innsyn i.

Begrepet dekker et bredt spekter av hendelser. Selv om mange tenker på store dataangrep, skjer de fleste avvikene som følge av menneskelige feil. Det kan dreie seg om alt fra en e-post sendt til feil mottaker til en PC som blir gjenglemt på toget.

Hva regnes som et personvernavvik?

Et avvik oppstår så snart sikkerheten rundt personopplysninger svikter. Det trenger ikke nødvendigvis bety at informasjonen har blitt misbrukt, bare at kontrollen over den har gått tapt. Typiske eksempler inkluderer: Menneskelig svikt: Sende sensitive pasient- eller kundeopplysninger til feil mottaker. Fysisk tap: En bærbar PC eller minnepinne med ubeskyttede personopplysninger på avveie. IT-sikkerhet: Uvedkommende hacker seg inn i systemer og får tilgang til ansatt- eller kundelister. Datatap: Utilsiktet sletting av viktige personopplysninger uten at det finnes fungerende backup.

Plikt til å melde avvik til Datatilsynet

Når et avvik oppdages, stiller personvernforordningen (GDPR) klare krav til hvordan virksomheten skal reagere. Det er viktig å understreke at alle avvik, uansett hvor små de virker, skal loggføres internt i virksomheten.

Dersom avviket medfører en risiko for de berørte personenes rettigheter og friheter, inntrer en plikt til å melde avvik til datatilsynet. Dette skal skje uten ugrunnet opphold og senest innen 72 timer etter at virksomheten ble kjent med hendelsen. ^[2]

Varsling av de berørte

Hvis avviket sannsynligvis vil føre til en høy risiko for personene det gjelder, for eksempel fare for identitetstyveri eller økonomisk tap, har virksomheten også plikt til å varsle de berørte direkte. Dette er et kritisk tiltak for å gi de berørte muligheten til å sikre seg selv mot konsekvenser, som for eksempel å sperre bankkort eller endre passord.

Håndtering av risiko og usikkerhet

Mange virksomheter opplever usikkerhet når en hendelse oppstår. Det er lett å bli lammet av frykt for sanksjoner eller gebyrer, men Datatilsynets fokus er primært på at virksomheten tar situasjonen på alvor og begrenser skadevirkningene. Det er sjelden avviket i seg selv som fører til de største reaksjonene, men heller mangelen på gode rutiner for å håndtere det når det først har skjedd.

Varslingsnivåer ved personvernavvik

Internt avvik

• Lav risiko

• Dokumenteres i intern logg

Varsling Datatilsynet

• Risiko for rettigheter/friheter

• Meldingsplikt innen 72 timer

Varsling berørte

• Høy risiko

• Direkte varsling uten opphold

Håndtering av e-postfeil i en lokal bedrift

Erik, daglig leder i en liten regnskapsbedrift, sendte ved et uhell en liste med ansattdata til feil mottaker i et annet selskap. Han innså feilen 10 minutter etter at han trykket send, da han så navnet i mottakerfeltet var feil.

Panikken tok overhånd og han vurderte å bare slette e-posten. Han var redd for at dette skulle skade bedriftens rykte eller føre til strenge reaksjoner fra Datatilsynet.

Han valgte i stedet å følge interne rutiner, dokumenterte avviket og kontaktet mottakeren umiddelbart for å be dem slette e-posten. Han sendte også en bekreftelse på at sletting var utført.

Etter en vurdering konkluderte han med at risikoen var lav, da mottakeren var en profesjonell aktør. Han loggførte hendelsen internt, lærte en verdifull lekse om å være mer nøye med autofullfør-funksjonen, og bedriften unngikk sanksjoner.