Du hadde et ark liggende på pulten med personopplysninger, og så kom en gjest innom kontoret. Du sendte en e–post med CC istedenfor BCC. Noen brudd på GDPR skal konsekvensutredes og eventuelt meldes videre. Men hvilke og hvordan?
- Det er vanskelig å sikre at en virksomhet ikke har et eneste brudd på GDPR-regelverket. Det som er viktig er at vi tenker over hvordan og hvorfor det skjer. Slik at det samme ikke skjer igjen, samt hvordan vi kan håndtere det, sier Mette Blanner, Partner i PersondataSupport.
Et sikkerhetsbrudd kan forekomme dersom:
– uautoriserte personer får tilgang til personopplysninger
– en ansatt bevisst eller ubevisst videresender sensitiv informasjon
– du mister eller blir frastjålet PC, telefon, minnepenn og lignende som inneholder personopplysninger hvor enheten ikke er beskyttet med sikkert passord og kryptering.
- Etter et brudd skal det lages en vurdering, og der skal det også vurderes om bruddet kan ha konsekvenser for de personene persondataene omhandler. Hvis man vurderer at det er en konsekvens, for eksempel at et personnummer eller en journal kan ha blitt sett av noen som ikke bør se det, skal det meldes til tilsynsmyndighetene. Da har tilsynsmyndigheter mulighet til å videre undersøke, samt underrette de berørte menneskene, forklarer Mette Blanner.
Under sees et flowchart som beskriver når de skal meldes.
Et brudd skal meldes inn innen 3 dager
Dersom persondata har blitt kompromittert og det innebærer en risiko for fysiske personers rettigheter og frihet, skal myndighetene (Datatilsynet) bli informert snarest mulig, og senest innen 72 timer av den ansvarlige. En databehandler skal på samme måte orientere den dataansvarlige raskest mulig. Begge deler baseres på tidspunktet for oppdagelsen av sikkerhetsbruddet. Når et brudd innebærer en høy risiko for personers rettigheter og frihet, skal den dataansvarlige også underrette de fysiske personene som er berørt med en gang.
Meldingen skal være skriftlig, men Datatilsynet kan varsles først på telefon dersom det er viktig at de blir raskt kjent med avviket, for eksempel dersom avviket vil medføre at vi mottar henvendelser via andre kanaler. Du melder avvik her
Dersom du Datatilsynet ikke har fått all informasjon de trenger, vil de kontakte dere for supplerende opplysninger.
Hvordan vurdere risiko og høy risiko for de berørte
Med en gang man er klar over at det er har skjedd et brudd, skal man håndtere og begrense det. Samtidig må man avgjøre hvilken risiko det kan ha medført for de som er berørt av bruddet.
- Dersom det er ingen eller lav risiko, er det ikke behov for å melde fra til Datatilsynet eller til de berørte.
- Dersom det er middels risiko, er det nødvendig å melde fra til Datatilsynet, men ikke informere de berørte.
- Dersom det er høy risiko, er det nødvendig å melde fra til Datatilsynet og informere de berørte.
I PersondataSupport sin portal finnes en egen modul som omhandler sikkerhetshendelse og hvordan disse skal vurderes.
Hvordan kan vi hjelpe deg videre?
Du kan laste ned Flowchart som vises over som høyoppløseslig PDF. I tillegg vurderer vi å sette opp en Workshop rundt GDPR og PersondataSupport. Dersom dette kan være interessant for deg, er det fint om du melder din interesse.
