Nye retningslinjer for avviksmeldinger
Etter art. 33 skal den behandlingsansvarlige melde fra til Datatilsynet om brudd på personopplysningssikkerheten innen 72 timer. Dette gjelder så lenge bruddet «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter», jf. art. 33 (1). Om bruddet ikke representerer en alvorlig nok risiko, skal Datatilsynet ikke varsles, men den behandlingsansvarlige må ta stilling til bruddets alvorlighet for å kunne avgjøre dette. Merk at også enkelte brudd skal meldes fra om til de berørte registrerte, jf. art 34 i GDPR.
Enkelte brudd på personopplysningssikkerheten er selvforklarende alvorlige, eksempelvis en stor datalekkasje som berører et stort antall registrerte og store mengder data av sensitiv karakter. Andre brudd kan være vanskelige å ta stilling til, og det er derfor meget positivt at de nye retningslinjene fra EDPB eksemplifiserer typetilfellene. Forhåpentligvis blir det enklere for virksomheter å gjøre gode vurderinger, samt føle at de underretter Datatilsynet om de korrekte sakene. Vi understreker at selv om ikke alle brudd skal meldes fra om til Datatilsynet, er det viktig at man som en del av internkontrollen, sørger for å ha rutiner for å fange opp avvik og behandle dem deretter. Helst bør dere føre en statistikk over de avvikene som er meldt inn, slik at man kan avdekke forbedringsmuligheter innenfor eksempelvis et enkelt system eller avdeling.
Det norske Datatilsynet skriver at retningslinjene retter fokus på praksisorientert og casebasert veiledning og anbefalinger. Målet er å hjelpe behandlingsansvarlige med å bestemme hvordan de skal håndtere typiske databrudd og hvilke faktorer som bør tas med i en risikovurdering. På denne måten mener Datatilsynet at de nye retningslinjene utfyller tidligere retningslinjer gitt av artikkel 29-gruppen. (Forgjengeren til EDPB etter det gamle personverndirektivet).
