Berørte personer er alle de som har fått sine rettigheter eller friheter påvirket av bruddet. Det kan for eksempel omfatte:
- Personer som har fått personopplysningene sine på avveier.
- Personer som har mistet tilgang til personopplysningene sine.
- Personer som har mistet tilgang til tjenester de benytter.
- Personer som har opplevd at personopplysningene deres har blitt endret av uvedkomne.
- Personer som har opplevd at uvedkomne har kommunisert i deres navn.
Informasjon er en grunnleggende forutsetning for å kunne ivareta egne interesser. Uten informasjon har ikke de berørte muligheten til å vurdere hvilke grep de kan ta for å redusere risikoen for rettighetene og frihetene sine.
Hvis en angriper for eksempel har tatt over e-postkontoen til en virksomhet og sender ut falske regninger i virksomhetens navn, må de som mottar regningene informeres så snart som mulig for å unngå at de betaler regningene. Hvis virksomheten ikke informerer, er sannsynligheten høyere for at flere blir svindlet. På samme måte kan det være viktig for den berørte å ta grep, slik som å sperre seg mot kredittvurderinger eller å varsle banken dersom personopplysningene deres er på avveier.
Den behandlingsansvarlige skal gi informasjon uten ugrunnet opphold. Rask informasjon kan forhindre misbruk av personopplysninger, begrense omdømmetap for de berørte og virksomheten selv, og ellers begrense konsekvensene av bruddet.
Hvordan vurderer man om risikoen for de berørtes rettigheter og friheter er "høy"?
For å vurdere om risikoene for de berørte sine rettigheter og friheter er høy, må den behandlingsansvarlige gjennomføre en risikovurdering. Det er viktig at denne gjennomføres på forsvarlig vis og dokumenteres. Det innebærer at man må kartlegge uønskede hendelser som kan ramme de berørte, og vurdere dem på en realistisk måte. Det vil for eksempel ikke være forsvarlig å utelate åpenbare risikoer fra vurderingen eller bevisst undervurdere risikoene.
En alminnelig angivelse av risiko er sannsynlighet * konsekvens. Det er verdt å merke seg at risikoen kan være høy selv om sannsynligheten for at en hendelse inntreffer er lav, hvis den mulige konsekvensen er svært alvorlig. Det samme gjelder hendelser med liten konsekvens, hvis sannsynligheten for at de inntreffer er svært høy. Som i enhver annen risikovurdering må de som gjennomfører vurderingene etterstrebe objektivitet.
Les mer om risiko og risikovurderinger hos på Digitaliseringsdirektoratet (digdir.no) og veiledningen vår om vurdering av personvernkonsekvenser.
"Rettigheter og friheter" forstås vidt, og omfatter for eksempel rettigheter og friheter de berørte har etter
- personvernforordningen, for eksempel retten til sletting og innsyn.
- annen nasjonal og internasjonal lovgivning, for eksempel retten til privatliv, retten til kommunikasjonsvern, ytringsfrihet, religionsfrihet, frihet fra diskriminering, retten til helsebehandling og så videre,
- avtaler med ulike parter, for eksempel retten til å motta lønn fra arbeidsgiver, rett til tilgang til internett, rett til kraftforsyning, rett til forsikringsoppgjør og så videre.
Eksempler på når et brudd kan innebære høy risiko for de berørte
Det er ikke mulig å gi noen uttømmende liste på når det er høy risiko for de berørtes rettigheter og friheter, men risikoen kan for eksempel være høy hvis bruddet kan føre til:
- forskjellsbehandling
- identitetstyveri eller -bedrageri
- økonomisk tap
- skade på omdømme
- taushetsbelagte personopplysninger på avveier
- tap av liv eller helse
Hva må man informere de berørte om?
Den behandlingsansvarlige må som et minimum gi de berørte følgende informasjon:
- En klar og tydelig beskrivelse av bruddet.
- Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der de berørte kan få mer informasjon.
- Beskrivelse av de sannsynlige konsekvensene av bruddet.
- Beskrivelse av tiltakene den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet. Det innebærer blandt annet tiltak for å redusere eventuelle skadevirkninger som følge av bruddet, hvis det er relevant.
Hvordan skal man informere de berørte?
Informasjon skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte, og på et klart og enkelt språk. Det betyr at den behandlingsansvarlige så langt det er mulig bør ta direkte kontakt med de berørte.
Informasjonen om bruddet bør ikke gis sammen med annen informasjon, slik som nyhetsbrev eller andre oppdateringer. Informasjon kan ikke gis på en måte som gjør det sannsynlig at de berørte overser informasjonen om bruddet. Man bør bruke de metodene og kanalene gir høyest sannsynlighet for å nå ut.
Eksempler på kanaler som kan brukes:
- Telefon
- SMS
- E-post
- Brev
- Fremtredende beskjed på virksomhetens nettside
- Annonsering i ulike medier
Kravene til hvordan man skal informere, følger av personvernforordningen artikkel 12 og prinsippet om åpenhet i artikkel 5. Les mer om informasjon og åpenhet.
Når er det ikke nødvendig å gi informasjon til de registrerte som er berørt?
Den behandlingsansvarlige trenger altså ikke å informere de berørte dersom det ikke er sannsynlig at bruddet vil medføre en høy risiko for de berørtes rettigheter og friheter.
Det er for eksempel ikke nødvendig å informere dersom
- det er gjennomført egnede tekniske og organisatoriske sikkerhetstiltak for å sikre personopplysningene i forkant av bruddet, særlig tiltak som gjør personopplysningene uleselige for personer som ikke har autorisert tilgang til dem, for eksempel kryptering
- det er gjort etterfølgende tiltak som sikrer at det ikke lenger er sannsynlig at den høye risikoen vil oppstå. For eksempel (avhengig av omstendighetene: Hvis den behandlingsansvarlige umiddelbart har identifisert og iverksatt tiltak mot en enkeltperson som har fått tilgang til personopplysningene før vedkommende har hatt mulighet til å gjøre noe med dem. Det må likevel vurderes hvor høy restrisiko som er igjen og hvilke konsekvenser det kan medføre for de berørte.
- det vil innebære en uforholdsmessig stor innsats. Eksempler på dette er når kontaktopplysninger har blitt borte som et resultat av bruddet eller i utgangspunktet ikke har vært kjent for den behandlingsansvarlige. Dersom det er tilfelle, skal man i stedet informere offentlig, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.
- informasjon om sikkerhetsbruddet vil avsløre opplysninger av betydning for Norges utenrikspolitiske, forsvars- og sikkerhetsinteresser, forebygging og etterforskning av straffbare handlinger, og opplysninger underlagt lovpålagt taushetsplikt. Dette unntaket er en av bestemmelsene i personvernforordningen hvor det åpnes for særregulering. Norge har benyttet denne muligheten for å sikre samsvar med forvaltningsloven og offentlighetsloven (se personopplysningsloven § 16 fjerde ledd, jf. § 16 første ledd bokstav a, b og d.)
Retningslinjer fra EDPB
Det europeiske Personvernrådet (European Data Protection Board, EDPB) har laget retningslinjer for hvilke brudd som er meldepliktige og ikke. Retningslinjene inneholder praktiske eksempler som er til hjelp når en behandlingsansvarlig skal vurdere om bruddet må meldes til Datatilsynet eller ikke. Det gis også veiledning i når de berørte skal informeres. Retningslinjene er tilgjengelige bare på engelsk.
Les retningslinjene fra EDPB