Hva er et brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten, også kjent som et avvik, innebærer at personopplysningene til en eller flere personer har vært utsatt for risiko i forbindelse med en sikkerhetshendelse av noe slag. Dette gjelder uansett om det har skjedd forsettlig eller ved et uhell. Et brudd på personopplysningssikkerheten kan være

• uaktsom eller ulovlig ødeleggelse
• tap eller endring
• uautorisert avsløring
• uautorisert tilgang

av personopplysninger som er behandlet. Det må altså være personopplysninger involvert for at det skal regnes som et brudd på personopplysningssikkerheten.

Ønsker du å lære mer om brudd på personopplysningssikkerheten og hvordan dere kan håndtere dem? Last ned vårt faktaark om emnet!

Tre eksempler på brudd på personopplysningssikkerheten

1. Når en ansatt har sendt personopplysninger til en mottaker som ikke skulle ha hatt opplysningene.
2. Phishing-angrep, der noen blir lurt til å gi fra seg personopplysninger som kan brukes til svindel.
3. Hvis en mobiltelefon som inneholder personopplysninger blir mistet når en ansatt glemmer den på bussen.

Feilaktige e-postutsendelser – et vanlig brudd på personopplysningssikkerheten

Omtrent en tredjedel av rapporterte avvik er feilaktige brev- og e-postutsendelser med personopplysninger som ved et uhell har havnet hos feil mottaker. La oss se på et eksempel og hvordan dere bør agere med hjelp av en av våre eksperter:

En enhetsleder har sendt en e-post til 80 ledere, som var feilaktige mottakere innen organisasjonen. E-posten inneholdt informasjon om at en navngitt person har sagt opp, og et spørsmål om en annen person nevnt i e-posten skal ha fortrinnsrett til stillingen. Er dette grunnlag for en hendelsesrapport?

Eksperten svarer: Ja, dette er et typisk eksempel på en hendelse som vi vurderer bør rapporteres til tilsynsmyndigheten i henhold til artikkel 33 i GDPR. Dette fordi det ikke er usannsynlig at bruddet på personopplysningssikkerheten medfører en risiko for fysiske personers rettigheter og friheter. Det kan oppfattes som svært krenkende for personvernet å få slike opplysninger spredt til et så stort antall personer.

Fremtidig praksis vil forhåpentligvis gi mer veiledning om avveininger angående nøyaktig hvilke typer hendelser som skal rapporteres og ikke, men generelt sett er det bedre å rapportere ved usikkerhet enn å la være. Slik har vi også forstått at tilsynsmyndighetene resonnerer.

Konsekvensene av brudd på personopplysningssikkerheten er relevante

Det relevante når et avvik har skjedd, er ikke bare hvordan det oppstod, men først og fremst hva det innebærer av konsekvenser. Hvis det ikke er usannsynlig at avviket kan medføre en risiko for de individene som er rammet, skal det rapporteres til Datatilsynet innen 72 timer. Husk også å informere de registrerte personene hvis det innebærer en høy risiko for deres fri- og rettigheter i forbindelse med at deres personopplysninger er blitt kompromittert.

For å håndtere brudd på personopplysningssikkerheten på en enkel og smidig måte kan dere ta hjelp av et verktøy - der kan dere undersøke eventuelle avvik direkte.