Det europeiske personvernrådet (EDPB) sendte tidligere i år ut et utkast til nye retningslinjer om avvikshåndtering. Høringsfristen utløp 2. mars 2021 og de endelige retningslinjene er nå til behandling.
En virksomhet som er behandlingsansvarlig for personopplysninger er i henhold til GDPR forpliktet til å underrette Datatilsynet om brudd på personopplysningssikkerheten uten ugrunnet opphold og, når det er mulig, senest 72 timer etter å ha fått kjennskap til hendelsen. Brudd på personopplysningssikkerheten er utilsiktet, ulovlig eller uautorisert tilgang, bruk, tap, endring eller utlevering av personopplysninger eller brudd på personopplysningenes integritet.
Unntak fra varslingsplikten til Datatilsynet gjelder dersom bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom behandlingsansvarlig vurderer det rapporterte sikkerhetsbruddet til å ha en høy risiko for fysiske personers rettigheter og friheter, skal behandlingsansvarlig sørge for at hvert enkelt berørt individ uten ugrunnet opphold underrettes, slik at vedkommende får mulighet til å treffe de nødvendige forholdsregler.
Imidlertid har det vært uklarheter knyttet til hvordan behandlingsansvarlig faktisk skal håndtere et brudd og hvilke faktorer som bør vurderes i risikoanalysen, og derfor også i hvilken utstrekning Datatilsynet og eventuelt berørte individer skal informeres.
De foreslåtte retningslinjene inneholder eksempler som skal gi veiledning. Veiledningen gir en praksisorientert rettledning og bygger på tilsynsmyndighetenes erfaringer siden GDPR ble vedtatt. Retningslinjene supplerer retningslinjene fra 2017 som ble gitt av forgjengeren til Personvernrådet, den såkalte Artikkel 29-gruppen. Personvernrådet anerkjenner at de tidligere retningslinjene ikke adresserte alle praktiske spørsmål i tilstrekkelig detalj, og det var på tide med mer praksisorientert veiledning.
Med utgangspunkt i erfaringene fra tilsynsmyndighetene legges det i retningslinjene frem 18 ulike eksempler som dekker de vanligste brudd på personopplysningssikkerheten, herunder løspengevirus (ransomware), uautorisert dataeksfiltrering og stjålne eller mistede enheter og dokumenter. Eksempelvis gis det veiledning i tilfeller hvor virksomheten utsettes for løspengevirus uten å ha tilstrekkelig sikkerhetskopier.
Organisert etter type avvik eller angrep, gir Personvernrådet råd for håndtering av bruddet og veiledning om identifisering og vurdering av risiko. Veiledningen angir også i hvilke tilfeller behandlingsansvarlig må varsle tilsynsmyndigheten og i hvilke tilfeller de ulike berørte individene også må informeres. Avslutningsvis gis det eksempler på organisatoriske og tekniske tiltak som kan bidra til å forhindre eller mitigere konsekvensene av bruddet.
Det siste året har vi sett et økt antall cyberangrep mot norske virksomheter, hvor Covid-19-pandemien påvirker sikkerheten med flere på hjemmekontor. Det er dermed svært viktig å ha på plass tilstrekkelig organisatoriske og tekniske sikkerhetstiltak. Et brudd på personopplysningssikkerheten vil, dersom det ikke håndteres på egnet måte og i rett tid, kunne påføre personer fysisk, materiell eller ikke-materiell skade, f.eks. identitetstyveri eller bedrageri, økonomisk tap, tap av konfidensialitet for taushetsbelagte personopplysninger eller andre betydelige økonomiske eller sosiale ulemper for den berørte fysiske personen. Det er slike skadevirkninger som GDPR og den nye veiledningen skal medvirke til å redusere.
Ta gjerne kontakt med oss for spørsmål og råd om ovennevnte eller andre personvernrettslige problemstillinger i din virksomhet.