Strengere personvernregler ved sikkerhetsbrudd og nye krav til avvikshåndtering

Stadig flere virksomheter opplever hacking, datalekkasjer eller andre sikkerhetsbrudd hvor personopplysninger havner på avveie. Noen hendelser kan skyldes eksterne faktorer, mens andre hendelser kan skyldes manglende intern tilgangsstyring. De nye personvernreglene, omtalt som "GDPR", stiller krav til når et sikkerhetsbrudd skal varsles til Datatilsynet og hva varselet skal inneholde. Det nye regelverket stiller også krav til når enkeltpersoner skal varsles. Brudd på varslingsplikten kan føre til myndighetssanksjoner eller erstatningskrav fra enkeltpersoner.

1. Innledning
Den nye personopplysningsloven innlemmer EUs nye personvernforordning 2016/679 (GDPR) og skal etter planen tre i kraft 25. mai 2018. Lovendringen vil påvirke alle norske selskaper. Det nye regelverket inneholder moderniserte regler for varsling av sikkerhetsbrudd og pålegger både behandlingsansvarlige og databehandlere en plikt til å varsle hverandre, Datatilsynet og/eller enkeltpersoner som er berørt av hendelsen.

En varslingsregel finnes i personopplysningsforskriften § 2-6, som bestemmer at Datatilsynet skal varsles om uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig. Denne vil bli opphevet. De nye personvernreglene fastsetter at selskaper skal varsle Datatilsynet om sikkerhetsbrudd som gjelder personopplysninger, uavhengig av om konfidensialitet er nødvendig eller ikke. De nye reglene innebærer dermed en innstramning sammenlignet med dagens regelverk.

2. Anbefaling
Enhver virksomhet som behandler personopplysninger må ha rutiner for å identifisere sikkerhetsbrudd, analysere risikoen ved bruddet og varsle dersom sikkerhetsbruddet anses å kunne påvirke fysiske personers rettigheter og friheter. Dette betyr at det også må finnes rutiner for hvordan man skal varsle Datatilsynet og eventuelt berørte enkeltpersoner.

I tillegg bør det foretas en særlig gjennomgang av bruken av skytjenester og tilhørende databehandleravtaler. Mange selskaper har ikke god nok oversikt over virksomhetens bruk av skytjenester, eller mangler retningslinjer for ansatte som benytter private skytjenester i forbindelse med arbeidet. Vi ser også ofte at selskaper ikke har god nok oversikt over hva slags sikring skytjenesteleverandørene benytter for å beskytte personopplysninger. Dette gjør mange selskap sårbare for sikkerhetsbrudd og gjør det vanskelig å oppdage om sikkerhetsbrudd har eller kan få konsekvenser for selskapet. Man bør også se på om enkelte data bør krypteres slik at konsekvensene ved en eventuell lekkasje blir mindre.

3. Hva er et sikkerhetsbrudd
For at varslingsplikten skal gjelde må det ha inntruffet et brudd på personopplysningssikkerheten. Dette er definert i GDPR art. 4 (12) som "et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet". For at varslingsplikten skal inntre må det altså ha vært en svikt i datasikkerheten, hvor uautoriserte personer har fått tilgang til personopplysninger, eller hvor selskapet som har samlet inn opplysningene, på grunn av en svikt i rutinene, har slettet, endret, mistet tilgang til eller delt personopplysninger, uten at det har vært anledning til det.  

Det er ikke alle slike sikkerhetsbrudd som vil utløse varslingsplikt. Grunnvilkåret er at sikkerhetsbruddet berører personopplysninger. På den annen side kan varslingsplikt inntre selv om det ikke har skjedd noe med personopplysningene. Hvis uautoriserte personer har fått tilgang til personopplysninger som disse personene ikke skulle hatt tilgang til, men hvor dataene er ubrukt, kan det fremdeles være påkrevet å varsle.

4. Behandlingsansvarliges varslingsplikt overfor Datatilsynet
En behandlingsansvarlig er den som bestemmer formålet med innsamlingen av personopplysninger. I henhold til de nye reglene skal behandlingsansvarlig varsle Datatilsynet om sikkerhetsbrudd, med mindre "det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter", jf. GDPR artikkel 33 (1).

Hvis det da er mer enn "lite trolig" at sikkerhetsbruddet vil medføre en slik risiko, skal behandlingsansvarlig varsle Datatilsynet uten ugrunnet opphold, og senest 72 timer etter å ha fått kjennskap til sikkerhetsbruddet.

Hvorvidt det er "lite trolig" at et sikkerhetsbrudd vil medføre en risiko for fysiske personers rettigheter og friheter, må vurderes konkret i hvert enkelt tilfelle. Det må vurderes om rettighetene til de personene som er berørt er truet og eventuelle konsekvenser av dette. Eksempelvis kan man tenke seg en situasjon hvor det har skjedd et sikkerhetsbrudd, men der personopplysningene som er berørt allerede er offentlige. Denne situasjonen vil trolig ikke anses å innebære noen trussel for "fysiske personers rettigheter og friheter", fordi bruddet trolig ikke vil ha noen ytterligere konsekvenser for de personene som opplysningene omhandler.

I henhold til uttalelser fra Artikkel 29-gruppen, som er EUs rådgivende organ i personvernspørsmål, skal også midlertidige brudd på tilgjengeligheten til opplysninger anses som sikkerhetsbrudd. Dette er tilfellet dersom behandlingsansvarlig selv ikke får tilgang til opplysningene i et begrenset tidsrom, for eksempel fordi man har mistet en minnepinne eller glemt passordet for å få tilgang til opplysningene (men altså bare midlertidig). Ved slike brudd kan det være vanskelig å vite når varslingsplikten inntrer. Ethvert tap av tilgjengelighet vil uansett innebære et brudd på personopplysningssikkerheten, og skal dokumenteres internt av selskapet, jf. art. 33 (5). Men, ikke alle tap av tilgjengelighet vil medføre risiko for rettigheter eller friheter og dermed utløse varslingsplikt. Dersom tilgjengeligheten tapes i svært kort tid, kan jo konsekvensene i realiteten være lik null, og privatpersoners rettigheter og friheter vil ikke være i fare. I et slikt tilfelle vil det ikke oppstå en varslingsplikt.

Behandlingsansvarlig skal, på samme måte som databehandler, ha et sikkerhetsnivå som er tilpasset risikoen ved databehandlingen. Dersom det er knyttet stor risiko til tap av tilgjengelighet, også midlertidig, er kravene til sikkerhetsnivå høyere, og terskelen lavere for når varslingsplikten inntrer. Midlertidig tap av tilgjengelighet til personopplysninger på et sykehus kan for eksempel få svært store konsekvenser for pasientene. I et slikt tilfelle kan det tenkes at varslingsplikt inntrer selv ved svært kortvarige tilgjengelighetsbrudd. Behandlingsansvarlig må vurdere bruddets art og potensielle konsekvenser for individer, og deretter vurdere om Datatilsynet skal varsles.

5. Behandlingsansvarliges varslingsplikt overfor individer
Dersom "det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter", skal behandlingsansvarlig uten ugrunnet opphold varsle direkte til de berørte personene om sikkerhetsbruddet, jf. GDPR artikkel 34 (1). Formålet med denne varslingsplikten er at de individer som sikkerhetsbruddet rammer, så raskt som mulig skal få muligheten til selv å utføre tiltak for å beskytte seg og sine personopplysninger. Dette kan begrense eventuelle negative konsekvenser av sikkerhetsbruddet.

Terskelen for når behandlingsansvarlig må melde fra til berørte personer er høyere enn for varsling til Datatilsynet. Ved først å varsle Datatilsynet, kan behandlingsansvarlig få råd om individer også bør varsles. Datatilsynet kan også pålegge varsling til individer. Ved vurderingen av om det foreligger "høy risiko" for fysiske personers rettigheter og friheter, må det foretas en konkret vurdering i hvert enkelt tilfelle. Sikkerhetsbruddets art, antallet berørte, volumet av personopplysninger, hva slags type personopplysninger det er tale om, hvor lett det er å identifisere individer, mulige konsekvenser ved bruddet, spesielle forhold ved de registrerte (barn, syke osv.) og spesielle forhold ved behandlingsansvarliges virksomhet, er momenter som skal tas med i vurderingen.

Varselet til individer skal inneholde den samme informasjonen som varselet til Datatilsynet. I tillegg skal sikkerhetsbruddets art beskrives "klart og tydelig". For at individer skal kunne forstå rekkevidden og konsekvensene av sikkerhetsbruddet er altså kravet til formidlingen av informasjon høyere enn for varsling til Datatilsynet.

I utgangspunktet skal behandlingsansvarlig ta direkte kontakt med de berørte. En slik direkte melding kan for eksempel gis på telefon, SMS, e-post, chat-system eller post. Dersom en direkte melding til hvert enkelt individ vil være særlig krevende for behandlingsansvarlig og ikke stå i forhold til omfanget av sikkerhetsbruddet, kan behandlingsansvarlig i stedet gi en felles melding til individene gjennom offentlige kanaler. Eksempler på dette kan være et informasjonsbanner på hjemmesiden eller et oppslag i mediene. Slik felles informasjonsformidling skal være like effektivt som en direkte melding. Artikkel 29-gruppen advarer mot å "gjemme bort" slike varsler i et nyhetsbrev eller standardutsendinger, siden dette ikke vil oppfylle kravet til at varselet skal være "klart og tydelig".

Dersom behandlingsansvarlig har gjennomført egnede sikkerhetstiltak som gjør personopplysningene uleselige for uautoriserte personer (for eksempel kryptering), kan selskapet unnlate å varsle individer selv om det har skjedd et alvorlig sikkerhetsbrudd. Det samme gjelder dersom behandlingsansvarlig har truffet effektive etterfølgende tiltak som har redusert den høye risikoen for de berørte personene. Risikoen for individene må vurderes kontinuerlig, og varslingsplikten deretter.
 
6. Databehandlers meldeplikt overfor behandlingsansvarlig
Databehandlere har et eget ansvar for å varsle til behandlingsansvarlig ved sikkerhetsbrudd.
En databehandler er en fysisk eller juridisk person eller offentlig myndighet som behandler opplysninger på vegne av en behandlingsansvarlig, for eksempel en leverandør av IT-tjenester. Etter de nye reglene skal databehandler varsle til behandlingsansvarlig om alle sikkerhetsbrudd. Det er altså ingen grense for hvilke sikkerhetsbrudd det skal varsles om, slik det er for behandlingsansvarlig. Varselet skal gis umiddelbart etter at databehandler fikk kjennskap til sikkerhetsbruddet.

Databehandler er pliktig til å ha interne rutiner som fanger opp sikkerhetsbrudd. De interne rutinene skal være egnede og proporsjonale i forhold til risikoen forbundet med databehandlingen, jf. GDPR artikkel 32. Dette innebærer for eksempel at en databehandler hvor et sykehus er behandlingsansvarlig må ha et høyere sikkerhetsnivå enn en databehandler hvor en bokklubb er behandlingsansvarlig, fordi konsekvensene ved et sikkerhetsbrudd vil være høyere for et sykehus.

7. Krav til innholdet i varselet
Varselet til Datatilsynet skal inneholde:

  • En beskrivelse av arten på sikkerhetsbruddet, herunder hvilke individer og hvilke personopplysninger som er berørt av hendelsen (for eksempel "kunder" og "bankopplysninger"),
  • kontaktopplysninger til en personvernrådgiver/kontaktpunkt hos behandlingsansvarlig,
  • en beskrivelse av sannsynlige konsekvenser av sikkerhetsbruddet, og
  • en beskrivelse av de tiltak som er truffet eller foreslås truffet av behandlingsansvarlig for å løse problemet og for å minimere eventuelle konsekvenser.

Dersom sikkerhetsbruddet kan påvirke personer i flere EU-medlemsstater, må behandlingsansvarlig ta en vurdering av hvilket lands datamyndighet som skal varsles.

8. Sanksjoner ved brudd på varslingsplikt
Brudd på varslingsplikten kan føre til administrative sanksjoner fra Datatilsynet og/eller erstatningskrav fra individer. Manglende varsel kan i seg selv kan innebære et sikkerhetsbrudd, og dette kan resultere i strengere sanksjoner enn om sikkerhetsbruddet ble varslet innen 72 timer.

Datatilsynet har myndighet til å utføre en rekke korrigerende tiltak, for eksempel utstede advarsler, irettesettelser og pålegg. I tillegg kan myndigheten begrense en databehandlers muligheter til å fortsette sin behandling av data, jf. GDPR artikkel 58 (2). Datatilsynet kan også ilegge administrative bøter for brudd på regelverket etter GDPR artikkel 83, herunder for brudd på varslingsplikten.   

Ethvert individ som har lidd materiell eller ikke-materiell skade kan kreve erstatning fra den behandlingsansvarlige eller databehandleren for skade som skyldes brudd på regelverket.

Ved innlemmelsen av GDPR i norsk rett vil Datatilsynet kunne skrive ut bøter opp mot 4 % av konsernomsetningen eller 20 millioner euro. De høyeste bøtene vil kun brukes i særlig alvorlige tilfeller, men de nye maksgrensene indikerer at bøtenivået skal økes betydelig fra dagens nivå.

Advokater

Kaare M. Risung
Jeppe Songe-Møller
Eva Jarbekk

Publisert

15. januar 2018