Varsel til Datatilsynet om personvernbrudd

Skjer det et brudd på personopplysningssikkerheten (personvernbrudd), skal dette varsles til Datatilsynet uten ugrunnet opphold og om mulig innen 72 timer. Ved et personvernbrudd tikker altså klokka, og ting må skje rimelig raskt og effektivt. Det må innhentes informasjon, vurderes om det skal sendes varsel til Datatilsynet, vurderes hvem som skal varslet, innholdet i varsel, og ikke minst sende inn varselet. Det vil trolig komme inn nær 1000 varsler til Datatilsynet innen årets utløp. Nedenfor gis det en oversikt over reglene for varsel, slik at man har en oversikt når det må vurderes å sendes et varsel. Det er imidlertid vanskelig å arbeide med varselet i Altinn, og du finner derfor et arbeidsdokument for varsel til slutt i artikkelen.

Hva krever varsel?

Det er brudd på personopplysningssikkerheten (personvernbrudd) som skal meldes. Etter personvernforordningen artikkel 4 nr. 12 er et personvernbrudd brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Et brudd på personopplysningssikkerheten, er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Personvernforordningen artikkel 4 nr. 12

Personvernbrudd vil altså være brudd på reglene etter personvernforordningen eller andre personvernregler, som fører til at enten personopplysninger kommer på avveie (brudd på konfidensialitet), at opplysningene endres eller slettes utilsiktet (brudd på integritet) eller at opplysningene ikke er tilgjengelige for dem de skal være tilgjengelig for når de skal være tilgjengelig (brudd på tilgjengelighet). Dette vil omfatte ganske mye, og som eksempel på personvernbrudd nevnes det i personvernforordningen: Tap av kontroll over egne personopplysninger eller begrensning av egne rettigheter, forskjellsbehandling, identitetstyveri eller -bedrageri, økonomisk tap, uautorisert oppheving av pseudonymisering, skade på omdømme, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen.

Selv om det står i artikkel 4 nr. 12 som er sitert ovenfor at personvernbrudd er brudd på sikkerheten “som fører til” skade mv., så må et personvernbrudd også omfatte det som kan føre til forhold. Det kreves ikke at det har oppstått en skade mv. er ikke forordningsteksten tilstrekkelig presis.

For mer om vurdering av hva som kan anses som et personvernbrudd, se Datatilsynets veileder  (Datatilsynet omtaler dette som “avvik”) hvor det er tatt inn momenter og eksempler på hva som bør meldes. Datatilsynet har også opplyst at de vil komme med mer informasjon om hva som er nivået for å sende inn varsel senere.

Det følger av personvernforordningen at dersom personvernbruddet kan håndteres “på egnet måte og i rett tid” (fortalen punkt 85), så er varsel ikke nødvendig. Dette må innebære at om man klarer å eliminere risikoen for personvernet til den fysiske personen innen man skal varsle, så er ikke varsel nødvendig. Pga. tidsfristen er nok dette et veldig snevert unntak, men det kan tenkes situasjoner hvor det kan komme til anvendelse.

Hvem skal varsle?

Det er den behandlingsansvarlige som skal varsle, se artikkel 33 i personvernforordningen. Allikevel har Datatilsynet lagt opp i skjemaet om varsel i Altinn at databehandleren også kan varsle (som er noe merkelig, siden det ikke er noen hjemmel for slikt varsel, og det er ofte regulert i databehandleravtaler at databehandleren ikke skal varsle).

Har den behandlingsansvarlige utnevnt personvernombud, bør personvernombudet involveres i arbeidet med og vurderingen av om det skal varsles personvernbrudd.

Fristen for å varsle

Det skal varsles uten ugrunnet opphold og om mulig innen 72 timer fra “den behandlingsansvarlige får kjennskap til at det har oppstått et brudd på personopplysningssikkerheten”. Siden det brukes “om mulig” og “bør” i bestemmelsen, er nok ikke denne fristen så absolutt at det kan ilegges en bot dersom man oversitter fristen (Datatilsynet skriver “senest innen 72 timer” sin veiledning, men det stemmer ikke med ordlyden i personvernforordningen). Men fristen bør søkes å holdes, og kan den ikke holdes, så bør det oppgis årsaken til forsinkelsen i meldingen. Merk også at informasjon kan gis trinnvis, slik at behandlingansvarlig kan gi informasjon løpende så snart denne har denne.

Man skal også være klar over at det her er snakk om 72 timer uavhengig av om det er helg, ferie, helligdager mv., dvs. 72 timer er 72 timer uansett i denne sammenheng. Det kan være hensiktsmessig å ha klart for seg når det skal skrive leveranse- og databehandleravtaler med leverandører.

Utgangspunktet for fristen er når den behandlingsansvarlige “får kjennskap” til bruddet. Det står i personvernforordningen at man skal undersøke om alle egnede teknologiske sikkerhetstiltak og organisatoriske tiltak (dvs. informasjonsikkerhetstiltakene) er blitt gjennomført for omgående å kunne fastslå om det har skjedd et personvernbrudd, og at Datatilsynet derfor skal varsles. Datatilsynet skal så vurdere om varsel er gitt “uten ugrunnet opphold” og ta da hensyn til “arten og alvorlighetsgraden av bruddet på personopplysningssikkerheten og konsekvensene og skadevirkningene det har for den registrerte”. Med andre ord er det en relativitet i vurderingen av “uten ugrunnet opphold” ved at ved en alvorlig hendelse så stilles det strengere krav til om varselet er sendt “uten ugrunnet opphold”. Det er imidlertid vanskelig å se hvordan en slik vurdering ikke skal få et “etterpåklokskapens lys”.

Ofte vil den behandlingsansvarlige få kjennskap til personvernbruddet gjennom å bli informert av databehandler. Databehandler skal informere den behandlingsansvarlig uten ugrunnet opphold etter databehandleren har fått kjennskap til bruddet selv, se personvernforordningen artikkel 33 nr. 2.

Hvordan gis varselet?

Varsel skal gis i Altinn, som kan gjøres her:

https://www.altinn.no/no/Skjema-og-tjenester/Etater/Datatilsynet/Melding-om-avvik/

Merk at det er person som har rettigheter til Altinn som “Utfyller/innsender” på vegne av virksomheten som kan sende inn meldingen i Altinn. Dette er normalt daglig leder/administrerende direktør, styrets leder, kontaktperson i offentlig virksomhet mv. Det bør være testet ut at en person i virksomheten har rettigheter til å sende varsel til Datatilsynet i Altinn før det er nødvendig å sende inn varsel. Å vente til varsel skal sendes inn og det er kort tid igjen av fristen kan innebære en unødvendig risiko.

Dersom det synes å være et omfattende personvernbrudd, kan det også opprettes kontakt med Datatilsynet før varsel sendes inn, enten på epost, telefon eller møter.

Husk at et varsel kan inneholde sensitive opplysninger om informasjonssikkerhet og registrerte. Siden Datatilsynet er omfattet av offentlighetsloven, bør man vurdere å be om at meldingen blir unntatt offentlighet. Dette kan f.eks. inntas på følgende måte: «Unntatt fra offentlighet jf. offentlighetslovens § 13, jf. forvaltningslovens § 13 siden meldingen inneholder forhold om personlige forhold og/eller bedriftshemmeligheter, herunder informasjon om tekniske innretninger og forhold av betydning for informasjonssikkerheten i virksomheten.» Siden denne informasjonen ikke passer i noen av feltene i meldingen i Altinn, må dette kunne legges i siste feltet om kontaktinformasjon.

Rutiner for varsling

Når det foreligger et personvernbrudd, og det skal innhentes informasjon, undersøkes hva som er skjedd, vurdere om det skal varsles mv. Det er mye som skal gjøres på knapp tid, og som bør gjøres riktig. I slike situasjoner vil det kreves å ha rutiner og prosedyrer å støtte seg på, og det bør være gjennomført tester (“generalprøve”) i forkant, for å kunne gjennomføre det som må gjøres og kontrollere at alt nødvendig er gjort. Det er derfor en klar anbefaling at virksomheten har utarbeidet rutiner for varsling av personvernbrudd.

Det bør også vurderes å ha prosedyrer for at alle personvernbrudd skal varsles internt, og at personvernombud og/eller ledelsen så skal vurdere om Datatilsynet skal varsles. Ved å ikke ha noen nedre terskel på varsel, vil man sikre at alle forhold kommer til beslutningstaker, og rette vedkommende fatter beslutningen om Datatilsynet skal varsles.

Arbeidsdokument for varsel

Varsel skal gis i Altinn, men det er vanskelig å arbeide på informasjonen i Altinn (for å ikke snakke om å dele informasjonen og samarbeide på innholdet. Jeg har derfor laget et arbeidsdokument som kan benyttes ved forarbeidet før varsel legges inni Altinn og sendes til Datatilsynet.

Last ned dokumentet her:

Arbeidsdokument varsel til Datatilsynet (66 downloads)

Om forfatteren

Jan Sandtrø er advokat som bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. Jan Sandtrø kan kontaktes på jan@sandtro.no eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til Linkedin-profil).

For å få oppdateringer abonner på varsler i menyen til venstre eller på LinkedIn ved å klikke her, og velg “Følg”.

Legg inn en kommentar