Et personvernbrudd er en sikkerhetshendelse som fører til at personopplysninger blir ødelagt, går tapt, endres eller blir tilgjengelige for uvedkommende. Det kan være et feiladressert regneark, en stjålet PC, løsepengevirus, en åpen skylagring eller at en ansatt har mer tilgang enn rollen krever.
Ikke vent til alle fakta er kjent. Bedriften må samtidig begrense skaden, sikre spor og vurdere om bruddet skal meldes.
Kort svar: hva gjør du først?
- Stans videre eksponering uten å ødelegge logger og bevis.
- Registrer når bruddet ble oppdaget og hvem som leder håndteringen.
- Kartlegg opplysninger, personer, systemer, mottakere og mulig skade.
- Vurder om Datatilsynet skal varsles innen 72 timer.
- Vurder om berørte personer skal informeres uten ugrunnet opphold.
- Dokumenter hendelsen, beslutningene og forbedringstiltakene.
Når starter 72-timersfristen?
Fristen løper fra virksomheten ble kjent med at et brudd har skjedd, ikke fra den tekniske undersøkelsen er ferdig. Hvis det er sannsynlig at bruddet medfører risiko for personers rettigheter og friheter, skal det som hovedregel meldes til Datatilsynet innen 72 timer.
Mangler dere opplysninger, kan meldingen sendes trinnvis. Forklar hva som er kjent, hva som undersøkes og hvorfor resten kommer senere. Datatilsynet beskriver innhold og innsending i veiledningen om å melde personvernbrudd .
Skal bruddet meldes?
Utgangspunktet er melding. Unntaket gjelder når det er usannsynlig at bruddet medfører risiko for de berørte. Vurderingen må bygge på den konkrete hendelsen.
| Moment | Spørsmål som skjerper vurderingen |
|---|---|
| Opplysningstype | Gjelder det helse, økonomi, identitet, barn, ansatte eller andre sensitive forhold? |
| Omfang | Hvor mange personer og datapunkter er berørt? |
| Identifiserbarhet | Kan opplysningene knyttes til bestemte personer alene eller sammen med andre data? |
| Tilgang | Hvem kan ha sett, lastet ned eller endret opplysningene? |
| Beskyttelse | Var data kryptert, og er nøklene fortsatt sikre? |
| Konsekvens | Kan hendelsen føre til svindel, diskriminering, tap, omdømmeskade eller tap av kontroll? |
| Varighet | Hvor lenge var opplysningene eksponert, og kan kopier fortsatt finnes? |
Les Datatilsynets kriterier for hvilke brudd som skal meldes før beslutningen tas.
Hva bør meldingen inneholde?
En brukbar første melding bør beskrive:
- hva som skjedde, sannsynlig årsak og tidslinje
- kategorier og omtrentlig antall berørte personer og registreringer
- hvilke opplysninger og systemer som er berørt
- sannsynlige konsekvenser for personene
- strakstiltak og planlagte risikoreduserende tiltak
- kontaktpunkt for videre oppfølging
- hvilke opplysninger som ettersendes
Avklar tidlig hvem som har nødvendig rolle eller fullmakt til å sende via Altinn. En nesten ferdig melding uten riktig innsender kan ellers miste verdifull tid.
Når må de berørte informeres?
Hvis bruddet sannsynligvis medfører høy risiko, skal de berørte som hovedregel informeres uten ugrunnet opphold. Informasjonen bør være tydelig og handlingsrettet: hva har skjedd, hvilke opplysninger gjelder det, hva har bedriften gjort, og hva kan mottakeren selv gjøre?
Et generelt utsagn om at «sikkerheten tas på alvor» er ikke nok. Ved lekkede passord kan rådet være å bytte passord; ved identitetsopplysninger kan det være å følge med på misbruk. Se Datatilsynets veiledning om å informere berørte .
Hva hvis leverandøren oppdager bruddet?
En databehandler skal varsle den behandlingsansvarlige uten ugrunnet opphold. Bedriften som er behandlingsansvarlig kan likevel ikke overlate hele risikovurderingen til leverandøren.
Be om tidspunkt, logger, berørte datasett, tiltak og kontaktperson. Avklar også om samme hendelse rammer andre kunder. Se hvem som gjør hva ved databrudd hos databehandler for rollefordelingen.
Hendelsesloggen bedriften bør føre
Alle personvernbrudd skal håndteres og dokumenteres, også når dere konkluderer med at melding eller individuell informasjon ikke er nødvendig.
| Tidspunkt | Dokumenter dette |
|---|---|
| Oppdagelse | Hvem meldte fra, hva ble observert og når fikk bedriften kunnskap? |
| Strakstiltak | Tilgang som ble stengt, data som ble sikret og hvem som ble involvert |
| Faktagrunnlag | Systemer, personer, opplysninger, varighet og mottakere |
| Risikovurdering | Mulige konsekvenser, sannsynlighet og risikoreduserende forhold |
| Beslutning | Hvorfor det ble meldt eller ikke meldt, og hvorfor berørte ble eller ikke ble informert |
| Etterarbeid | Årsak, korrigerende tiltak, ansvarlig og frist |
Vanlige feil
- IT-teamet løser feilen, men ingen registrerer når organisasjonen ble kjent med bruddet
- bedriften venter på en komplett gransking før meldingen vurderes
- «ingen har klaget» brukes som bevis på lav risiko
- leverandørens korte hendelsesrapport aksepteres uten spørsmål
- berørte får en vag melding uten konkrete beskyttelsestiltak
- beslutningen om ikke å melde dokumenteres ikke
Datatilsynet har også en egen veiledning for intern oppfølging og dokumentasjon .
Etter hendelsen
Finn rotårsaken, ikke bare den synlige feilen. Et feiladressert vedlegg kan skyldes manglende tilgangsstyring, uklare rutiner eller at sensitiv informasjon sendes i feil kanal. Tiltak bør få eier og frist, og ledelsen bør kontrollere at de faktisk virker.
Ved sensitive opplysninger, stort omfang, utpressing, uklar eksponering eller mulig straffbart forhold bør juridisk og sikkerhetsfaglig hjelp kobles inn raskt. Be om hjelp hvis beslutningen eller kommunikasjonen må kvalitetssikres.