Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Avviksmeldinger til Datatilsynet

Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling.

Har et avvik medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles (personopplysningsforskriften § 2-6).

Hva er formålet med avviksbehandlingen?

Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normaltilstand og hindre gjentakelse. Dersom det ikke er samsvar mellom fastlagte rutiner og hvordan personopplysninger håndteres eller informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen brukes som grunnlag ved gjennomgang og endring. Les mer om avvikshåndtering i Datatilsynets veileder om internkontroll og informasjonssikkerhet.

Når skal det rapporteres til Datatilsynet?

Datatilsynet skal varsles når det har skjedd en uautorisert utlevering av personopplysninger som krever konfidensialitet. Den behandlingsansvarlige virksomheten skal rapportere inn avvik så snart som mulig etter at avviket er oppdaget. Meldingen skal være skriftlig, men Datatilsynet kan varsles først på telefon dersom det er viktig at Datatilsynet bli raskt kjent med avviket, for eksempel dersom avviket vil medføre at Datatilsynet mottar henvendelser via andre kanaler.

Hva er en uautorisert utlevering?

En uautorisert utlevering av personopplysninger er når personopplysninger befinner seg utenfor den behandlingsansvarliges kontroll, og personer som ikke er godkjent for tilgang til personopplysningene kan ha fått tilgang. En utlevering kan være tilsiktet eller utilsiktet. Det har skjedd en utlevering selv om det er usikkert om noen har fått personopplysningene i hende.

Eksempler på uautorisert utlevering er:

Forsendelsesfeil:

  • Personopplysninger er sendt til feil mottaker pr. post eller e-post.
  • Digitale forsendelser som avslører andres e-postadresse i en kontekst hvor mottakerne skal beskyttes.
  • Forsendelser til riktig mottaker, men som ved en feil også inneholder personopplysninger om andre.
  • Postforsendelser til riktig mottaker, men hvor det er informasjon om mottakeren som skal skjermes for andre er synlig utenpå forsendelsen. Eksempler på dette er synlig fødselsnummer.
  • Postforsendelser hvor innholdet mangler eller innholdet er der, men konvolutten er revet opp.

Hacking / datainnbrudd, hvor personopplysninger har blitt hentet ut eller at det er sannsynlig at dette har skjedd.

Snoking gjennomført av egne ansatte. Dette er en utlevering fordi ansatte har ervervet opplysningene til sine private formål, og arbeidsgiver har derfor tapt kontrollen med opplysningene.

Tilgangsstyring feilet, er mangelfull eller manglende, slik at uvedkommende fra utsiden av virksomheten har fått tilgang til beskyttelsesverdige personopplysninger.

Nettpublisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Fysisk innbrudd hvor digitale data eller papirdokumenter med personopplysninger er forsvunnet.

Avhending uten sletting eller makulering

Mistet/gjenglemt/forlagt:

  • Papirdokumenter
  •  Laptop, nettbrett eller telefoner der innholdet ikke er kryptert 
  •  Minnepinner eller andre små lagringsmedier der innholdet ikke er kryptert

Hvilke personopplysninger gjelder det?

I personopplysningsforskriften § 2-6 står det «personopplysninger hvor konfidensialitet er nødvendig». Eksempler på slike personopplysninger er:

  • Sensitive personopplysninger
  • Fødselsnummer
  • Taushetsbelagte personopplysninger
  • Personopplysninger som etter sin mengde og art er følsomme.
  • Opplysninger som en virksomhet anser som konfidensielle i forholdet mellom seg og kundene. For eksempel saldo på konti eller hva en person har kjøpt i en nettbutikk.

Informasjon om andre avvik til Datatilsynet

Det kan være naturlig å informere Datatilsynet om andre avvik enn de som faller innunder meldeplikten etter § 2-6 i personopplysningsforskriften. Dette kan for eksempel være manglende tilgang på informasjon som får alvorlige konsekvenser, eller bevisste utleveringer av personopplysninger uten rettslig grunnlag. Slike avvik kan virksomheten rapportere inn på samme måte som en pliktig avviksmelding.

Hvem skal rapportere avvik?

Den behandlingsansvarlige virksomheten er ansvarlig for å rapportere inn avvik. Det er opp til virksomheten selv å bestemme hvem som skal rapportere inn avvik til Datatilsynet.

Det hender at vi blir kontaktet av personer som har fått sine personopplysninger utlevert eller har blitt eksponert for andres personopplysninger. Det er også tilfeller hvor vi blir kontaktet av media eller leser om avviket i en avis, eller at andre parter gjør oss oppmerksom på det. I slike tilfeller tar vi kontakt med den behandlingsansvarlige og ber om å få en avviksmelding.

Både behandlingsansvarlig og databehandler plikter å melde avvik. Det er akseptabelt og hensiktsmessig med en felles avviksmelding fra behandlingsansvarlig og databehandler dersom de er enige om dette og har en lik forståelse av hendelsen.

Informasjon til de berørte

Det er ikke en plikt etter personopplysningsloven å gi informasjon til de berørte av et avvik, men ved behandling av avviksmeldingen kan Datatilsynet pålegge en virksomhet å gi informasjon. Vi anbefaler virksomheten å være i forkant og vurdere å gi informasjon tidlig, mens det fortsatt er mulig å forhindre misbruk av personopplysninger, begrense omdømmetap for de berørte og virksomheten selv, og så videre. I noen tilfeller er det grunner som taler imot å gi informasjon om et avvik som for eksempel av hensyn til den registrertes helse eller forholdet til personer som står vedkommende nær. 

Når bør man gi informasjon til den registrerte som er berørt av et avvik?

Det er sannsynlig at Datatilsynet pålegger en virksomhet om å gi informasjon i de tilfellene hvor avviket kan føre til at den berørte kan bli utsatt for:

  • diskriminering eller forskjellsbehandling,
  • ID-tyveri,
  • bedrager,
  • økonomisk tap,
  • tap av omdømme, eller
  • tap av liv og helse

Det er fastslått av Personvernnemnda at varsling til de berørte ikke bare skal avgjøres utfra en vurdering av risiko for misbruk av opplysningene som har kommet på avveier. Informasjon om avviket har en verdi i seg selv – uavhengig av om den som blir varslet kan foreta seg noe etter å ha fått kunnskapen. Det er heller ikke en betingelse for å pålegge å gi informasjon at opplysningene er sensitive i seg selv. Konteksten opplysningene er utlevert i kan tilsi at opplysningene er beskyttelsesverdige, og at det derfor er av betydning for den registrerte å få informasjon. Det er sannsynlig at Datatilsynet vil pålegge en virksomhet å gi informasjon i tilfeller hvor utleveringen gir informasjon om:

  • en persons relasjon til helsevesenet
  • en persons relasjon til bank, forsikringsselskap, eller annet finansforetak
  • en persons lønnsopplysninger, personalforhold
  • en persons medlemskap i forening, meningsfelleskap

Opplysningenes sensitivitet kan imidlertid ha betydning for om informasjonen skal gis individuelt (til hver enkelt) eller kollektivt (gjennom annonsering, presse, andre medier). Personvernnemnda har slått fast at de registrerte har en interesse i å få vite hvor deres personopplysninger befinner seg, men at denne interessen kan oppfylles ved kollektiv informasjon i tilfeller hvor den informasjon som er lekket er svært lite sensitiv. De sakene hvor kollektiv informasjon ble ansett som tilstrekkelig var det i hovedsak generelle opplysninger om type røntgenundersøkelse (f.eks. mammografi) og fødselsnummer som var utlevert.

Les mer om virksomheters plikt til å informere berørte

Den europeiske Artikkel 29-gruppen gir her sine vurderinger om avviksmeldinger.

Artikkel 29-gruppen er satt sammen av representanter fra datatilsynsmyndighetene i hvert enkelt medlemsland i EU. Gruppen rådfører i personvernspørsmål og ser til at EUs personverndirektiv implementeres likt i EU- og EØS-landene.

Når bør man ikke gi informasjon til den registrerte som er berørt av et avvik?

I noen tilfeller er det grunner som taler imot å gi informasjon til berørte om et avvik. Veiledning for i hvilke tilfeller dette kan være finnes i personopplysningsloven § 20 andre ledd og § 23 som gjelder unntak fra retten til innsyn og informasjon. Generelt kan det sies at terskelen for å unnta fra retten til informasjon er høy, og hvis behandlingsansvarlig er usikker på om et unntak vil komme til anvendelse bør Datatilsynet konsulteres.

Hva skal avviksmeldingen inneholde?

Avviksmeldingen til Datatilsynet skal inneholde:

Beskrivelse av avviket

  • Hva har skjedd, hvor skjedde det og hvordan oppstod avviket.
  • Analyse av årsak (inkludert menneskelig eller teknisk svikt, samt brudd på egne rutiner)
  • Dato eller tidsrom for avviket.
  • Når ble avviket oppdaget.
  • Antall og type personer som er berørt eller antatt berørt.
  • Antall og type personopplysninger som er berørt eller antatt berørt.
  • Antall og type personer som har fått personopplysninger i hende.

Konsekvenser

Beskriv mulige konsekvenser avviket har medført for de berørte personene.

Tiltak

Beskriv iverksatte og planlagte tiltak for å forhindre at avviket skal skje igjen og hva som er gjort for å redusere avvikets potensielle skadevirkninger.

Informasjon

Har de berørte personene blitt informert om avviket? Beskriv hvorfor de berørte har blitt informert og på hvilken måte de har blitt informert (personlig brev eller e-post, avisoppslag, virksomhetens nettside, annet). Legg ved kopi av informasjon (uten å angi mottakere). Dersom de ikke har blitt informert, forklar hvorfor.

Kontaktinformasjon

Navn og kontaktinformasjon til personvernombud eller kontaktperson hos behandlingsansvarlig som kan gi mer informasjon om avviket.

Vi ønsker ikke at personopplysninger inngår i selve avviksmeldingen.

Avviksmeldingen sendes til:

Datatilsynet, Postboks 8177 Dep., 0034 Oslo eller på e-post til postkasse@datatilsynet.no

Til toppen