Hva er et brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.

Et brudd på personopplysningssikkerheten består av tre elementer:

  1. Et sikkerhetsbrudd
  2. Sikkerhetsbruddet fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang (årsakssammenheng)
  3. Sikkerhetsbruddet berører personopplysninger

Et sikkerhetsbrudd kan være både angrep utenfra og brudd på sikkerhetsprinsippene som skjer internt i virksomheten, for eksempel på grunn av menneskelig svikt som feilsendt e-post.

Sikkerhetsbruddet må føre til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.

Et brudd på personopplysningssikkerheten kan kategoriseres i:

  1. Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
  2. Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
  3. Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller sletting av, personopplysninger.

Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.

Meldeplikt

Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet.

Les mer om hvilke brudd som skal meldes