Varsel ved personvernbrudd – har din virksomhet kontroll?

Den europeiske Personvernforordningen (GDPR) pålegger virksomheter en streng varslingsplikt ved såkalte personvernbrudd (brudd på personopplysningssikkerheten). Plikten har sammenheng med kravene til informasjonssikkerhet og prinsippet om transparens og åpenhet i behandling av personopplysninger, som er nedfelt i GDPR artikkel 32 og artikkel 5. Fristen for varsling er kort. Ved brudd på varslingsplikten kan virksomheten ilegges overtredelsesgebyrer.

Det har vært knyttet usikkerhet til hvilke situasjoner som medfører at et sikkerhetsbrudd må meldes. I januar 2021 publiserte EUs Personvernråd (EDPB) utkast til retningslinjer for når virksomheter må varsle ved personvernbrudd (Guidelines 01/2021). Retningslinjene inneholder en rekke praktiske eksempler, og kan bidra til klargjøring av når det må varsles. Videre inneholder retningslinjene også nyttige råd for å unngå brudd og for å redusere risikoen for alvorlige konsekvenser dersom brudd skulle oppstå. Retningslinjene supplerer den mer generelle veilederen fra den tidligere Artikkel 29-gruppen om samme tema (Guidelines WP 250). Til tross for foreliggende retningslinjer fra EDPB opplever vi at det fortsatt er mange virksomheter som synes det er krevende å vurdere hendelser som oppstår og at det derfor er behov for ytterligere veiledning.

Hva er et personvernbrudd?

GDPR definerer personvernbrudd som et sikkerhetsbrudd som fører til tap, endring, ulovlig spredning eller tilgang til personopplysninger. Et personvernbrudd innebærer dermed for det første at det har skjedd en svikt i sikkerheten. Det er uten betydning om virksomheten har opptrådt uaktsomt eller på annen måte er skyld i svikten – også der virksomheten har gjort alt riktig kan den være nødt til å varsle. For det andre må sikkerhetsbruddet berøre personopplysninger.

Det er likevel ikke slik at det må varsles om alle personvernbrudd. Dersom personvernbruddet sannsynligvis ikke vil medføre risiko for rettighetene og frihetene til de berørte personene, trenger man ikke å varsle Datatilsynet. I vurderingen av om det foreligger en risiko for de berørtes rettigheter og friheter må det tas hensyn til omfanget av personvernbruddet, typen opplysninger på avveie, hvor lett det er å identifisere de berørte personene, spesielle egenskaper ved virksomheten samt mulige konsekvenser av bruddet.

Siden GDPR trådte i kraft, har nok tendensen vært at Datatilsynet varsles oftere enn nødvendig. Samtidig finnes det også eksempler der Datatilsynet skulle vært varslet, uten at det ble gjort. Det er derfor svært nyttig at det nå har kommet retningslinjer fra EDPB.

Retningslinjene inneholder en rekke praktiske eksempler på situasjoner som kan oppstå, og utførlige forklaringer om når det skal varsles. Blant annet bør det som utgangspunkt varsles dersom det er sannsynlig at bruddet vil medføre en risiko av en viss betydning, og dersom virksomheten utsettes for følgende situasjoner:

• løspengevirus (ransomware)
• cyberangrep som f.eks. hacking
• menneskelig svikt
• at maskinvare (PC/telefon) eller papir mistes eller blir stjålet
• forsendelsesfeil av epost og brev mv.
• sosial manipulering (ID-tyveri, phishing mv.)

Dette er eksempler, og det må altså foretas en konkret vurdering av risikoen i hvert enkelt tilfelle. Unntak fra varslingsplikten ved ransomware-angrep kan for eksempel tenkes der opplysningene som rammes krypteres, og det foreligger en tilgjengelig sikkerhetskopi. Unntak fra varslingsplikten ved forsendelsesfeil kan tenkes der opplysningene kun gjøres tilgjengelig for pålitelige tredjeparter (for eksempel en enkelt samarbeidspartner som er underlagt taushetsplikt). I slike tilfeller vil bruddet neppe få konsekvenser for de involverte.

I utkastet til de nye retningslinjene erkjenner EDPB at det kan være vanskelig å foreta en risikovurdering når man står midt i hendelsen, særlig sett hen til den korte varslingsfristen. Virksomhetene må imidlertid gjennomføre en vurdering basert på en forsvarlig undersøkelse av de faktiske forhold og avgjøre om det er sannsynlig at hendelsen vil medføre en viss risiko for berørte individer. Vi mener det må være på det rene at ikke alle brudd på personopplysningssikkerheten skal meldes, da dette dels følger av ordlyden i GDPR artikkel 33 nr. 1 sammenholdt med nr. 5 som sier at ethvert brudd skal dokumenteres (men ikke nødvendigvis meldes).

Hvem må varsle Datatilsynet?

Det er den behandlingsansvarlige som er pålagt å varsle Datatilsynet. Behandlingsansvarlig er den virksomheten som bestemmer formålet med innsamlingen og bruken av personopplysninger. I mange tilfeller vil imidlertid en hendelse kunne inntreffe hos en databehandler, som ofte er en ekstern tredjepart som leverer tjenester til den behandlingsansvarlige. Databehandlere har en plikt til å varsle den behandlingsansvarlige ved brudd, men ingen selvstendig plikt etter GDPR til å varsle Datatilsynet.

Den behandlingsansvarlige bør ha på plass rutiner og prosedyrer i forkant av et eventuelt personvernbrudd. Disse rutinene bør gjøre det klart hvem av de ansatte i virksomheten som har ansvar for å bidra ved håndteringen av brudd, herunder for å varsle Datatilsynet. Det er viktig at det er klart for de ansatte hvem de skal ta kontakt med i egen organisasjon om de blir oppmerksom på en mulig hendelse. For å få til god etterlevelse, er det derfor viktig at virksomheten sørger for å informere om hva som utgjør typiske brudd på personopplysningssikkerheten, herunder at dette også omfatter en del interne feil. Hvor ansvaret for å varsle bør plasseres avhenger av hvordan ansvaret for personvern ellers er organisert i virksomheten. Dersom virksomheten har et personvernombud, skal vedkommende uansett involveres i hendelsen og i varslingsprosessen.

Hva er fristen for å varsle Datatilsynet, og når begynner fristen å løpe?

Datatilsynet skal varsles "uten unødig opphold", og senest innen 72 timer etter virksomheten ble klar over at personopplysninger var på avveie. Timene løper uavhengig av helg, ferie mv.

At personvernforordningen opererer med to frister – både "uten unødig opphold" og senest innen 72 timer, innebærer at et varsel som er avsendt innen 72 timer likevel kan anses for å være sendt for sent dersom virksomheten burde varslet tidligere. Når varselet må sendes avhenger av karakteren og alvorlighetsgraden av personvernbruddet. I praksis erfarer vi at virksomhetene forholder seg til at det skal meldes innen 72 timer.

Varselet skal sendes i Altinn, men det er også mulig å inngi innledende varsel til Datatilsynet via andre kanaler (e-post/telefon) dersom virksomheten har behov for det.

Hva må varselet inneholde?

Det er visse minimumskrav til varselet til Datatilsynet. Varselet må inneholde informasjon om personvernbruddet, kontaktperson i virksomheten (typisk personvernombudet), sannsynlige konsekvenser av bruddet og tiltak satt i verk for å bøte på databruddet.

Varselet kan gjerne også inneholde informasjon om de berørte personene og typen personopplysninger, samt anslått omfang av bruddet. Dersom denne informasjonen ikke er lett tilgjengelig, er det imidlertid viktig at virksomheten ikke venter med å varsle til alle opplysningene er kartlagt, men varsler så raskt som overhodet mulig. Det vil sjeldent være tid til å foreta en omfattende juridisk analyse av det inntrufne. Mer utdypende informasjon kan ettersendes etter hvert som man får bedre oversikt over situasjonen.

GDPR pålegger også virksomheten en plikt til å dokumentere personvernbruddet og etterfølgende tiltak. Som angitt ovenfor, gjelder plikten til dokumentasjon også tilfeller der virksomheten kommer til at det ikke foreligger plikt til å varsle. Dette vil også være i virksomhetens interesse - dokumentasjonen vil kunne bevise at varslingsplikten er overholdt og at virksomheten eventuelt har igangsatt øvrige risikodempende tiltak.

Særlig om plikten til å varsle de berørte enkeltindividene

Også de individene personopplysningene gjelder skal varsles dersom risikoen for de berørtes rettigheter og friheter er høy. Det skal dermed mer til før virksomheten må melde fra til de berørte enn for varsling til Datatilsynet.

I vurderingen av om personvernbruddet medfører en høy risiko for de berørtes rettigheter og friheter, er det de samme momentene som er angitt ovenfor som vil være relevante. Dersom det oppleves som vanskelig å ta stilling til om det foreligger en høy risiko, kan man be om veiledning fra Datatilsynet. Datatilsynet kan også på eget initiativ pålegge virksomheten å varsle berørte individer.

Varselet til de berørte skal i utgangspunktet inneholde den samme informasjonen som varselet til Datatilsynet, men informasjonen bør presenteres i en form som gjør at de registrerte forstår hva som har skjedd og hvordan dette berører dem. Virksomheten bør ta direkte kontakt med de berørte, for eksempel ved å sende ut SMS eller e-post.

De berørte personene skal varsles "uten unødig opphold". Så langt som mulig bør enkeltindivider varsles samtidig som varselet sendes til Datatilsynet, evt. kort tid etter. Når det gjelder varsling til de registrerte er det samtidig viktig at virksomheten har tilstrekkelig oversikt til å treffe med budskapet. Det kan innebære at varslingstidspunktene ikke blir helt sammenfallende.

Sanksjoner ved brudd på varslingsplikten

Dersom en virksomhet ikke overholder varslingsplikten risikerer den bøter fra Datatilsynet på inntil EUR10,000,000 eller 2% av total global omsetning. Brudd på personopplysningssikkerheten kan også medføre brudd på andre krav i GDPR som i seg selv kan medføre selvstendig overtredelsesgebyr.

Gode varslingsrutiner og forsvarlig håndtering av hendelser kan etter omstendighetene føre til at overtredelsesgebyrer settes ned. Et nylig eksempel er bøtene det britiske tilsynet ICO varslet at skulle ilegges Marriott og British Airways for personvernbrudd. Opprinnelig var gebyrene satt til henholdsvis £99M og £183M. Gebyrene endte på £20M og £18.4M. Den kraftige reduksjonen var blant annet begrunnet i god avvikshåndtering, herunder kjapp varsling og god kommunikasjon med tilsynsmyndighetene.

I tillegg til eventuelle overtredelsesgebyrer fra Datatilsynet kan berørte enkeltindivider kreve erstatning for både økonomiske og ikke-økonomiske tap som følge av personvernbruddet.

Noen gode råd og enkle sjekklister

Enhver virksomhet vil oppleve at det inntreffer hendelser som medfører et brudd på personopplysningssikkerheten. Virksomhetene bør derfor være forberedt på at en situasjon kan oppstå der man må ta umiddelbare grep for å sikre etterlevelse av personvernforordningen. Virksomhetene bør derfor være i forkant. Et godt tips er å gjennomføre en "brannøvelse" for å kontrollere at gode rutiner for håndtering faktisk er implementert. Ansatte bør regelmessig motta informasjon om hvilke situasjoner som omfattes, samt hva de skal foreta seg hvis noe skjer.

ICO har laget to enkle sjekklister for databrudd. Inspirert av disse, og omsatt til norske virksomheter, kan følgende sjekklister være utgangspunkt for din virksomhets arbeid med å sikre etterlevelse:

Du finner Personvernrådets retningslinjer her. Retningslinjene har vært på høring, og høringsfristen utløp 2. mars. En overordnet gjennomgang av tilbakemeldingene fra EDPB gir inntrykk av at det ikke foreligger sterke innvendinger mot det publiserte førsteutkastet. Dersom det viser seg at oppdatert veiledning medfører endringer av betydning, vil vi følge opp med ytterligere informasjon.