Kan uvedkommende få tilgang til sensitiv eller beskyttelsesverdig informasjon som behandles i IT-systemene? Slike uønskede hendelser betegnes som brudd på konfidensialiteten til informasjonen. Uvedkommende kan være egne ansatte, studenter eller personer uten formell tilknytning til institusjonen som ikke har legitime og saklige behov for å kjenne til informasjonen. Det kan skje via et hackerangep eller data som kommer på avveie via internett.
Et sikkerhetsbrudd kan forekomme dersom:
- uautoriserte personer får tilgang til personopplysninger
- en ansatt bevisst eller ubevisst videresender sensitiv informasjon
- du mister eller blir frastjålet PC, telefon, minnepenn og lignende som inneholder personopplysninger hvor enheten ikke er beskyttet med sikkert passord og kryptering.
Hvilke brudd trenger du ikke å anmelde
Du trenger ikke å rapportere følgende:
- Der angriperen ikke klarer å få tilgang til personlige data eller ikke klarer å logge inn.
- DDoS (Distributed Denial-of-service) angrep, hvor en hacker prøver å forstyrre serveren så mye at den bryter ned/blir utilgjengelig.
- Tap av telefon eller PC som IT-avdelingen har mulighet til å slette all data på eksternt.
Nedenfor ser du et «Flowchart» med oversikt over hvor og når et sikkerhetsbrudd skal meldes fra til Datatilsynet og når registrerte personer skal varsles:
Når skal et sikkerhetsbrudd rapporteres?
Dersom persondata har blitt kompromittert og det innebærer en risiko for fysiske personers rettigheter og frihet, skal myndighetene (Datatilsynet) uten ugrunnet opphold, og om mulig, være informert innen 72 timer av den ansvarlige. Det må foreligge en veldig god grunn dersom man ikke melder bruddet eller blir forsinket, det må også redegjøres for. Hvis du ikke har mulighet til å levere all nødvendig informasjon umiddelbart, må du dermed forklare hvorfor forsinkelsen er oppstått. Et eksempel på dette kan være at det er vanskelig å vite med en gang hvor mange personer som er berørt av sikkerhetsbruddet. En databehandler skal på samme måte orientere den dataansvarlige raskest mulig. Begge deler baseres på tidspunktet for oppdagelsen av sikkerhetsbruddet. Når et brudd innebærer en høy risiko for personers rettigheter og frihet, skal den dataansvarlige også underrette de fysiske personene som er berørt med en gang.
Hvordan melder du fra om et sikkerhetsbrudd?
På Datatilsynets hjemmesider kan du lese om når og hvordan du melder avvik. Her finner du også retningslinjer og eksempler på sikkerhetsbrudd. Dersom du skal rapportere et brudd er det viktig å informere om følgende:
- Hvilken form for sikkerhetsbrudd skal du melde? Er det tap av opplysninger, sikkerhetsbrudd, brudd på konfidensialitet eller brudd på personvern. Det er stor forskjell dersom databruddet handler om sletting av data eller at data er kommet på avveie.
- Hvilken teknologi (hardware/software) er involvert?
- Hvilke opplysninger er kommet på avveie? Konsekvensene for de berørte personene henger sammen med hvor følsomme opplysningene er.
- Hvor lett kan du identifisere personene?
- Hvilke konsekvenser har det for de berørte personene?
- Gjelder det barn eller spesielt sårbare mennesker?
- Hvor mange personer har blitt påvirket av bruddet?
Hva skjer nå?
Datatilsynet tar kontakt med deg dersom de trenger ytterligere informasjon om bruddet. Det er viktig å laste ned en kopi av meldingen som er sendt. Dette er ditt bevis på at du har meldt inn et brudd.
Hva gjør jeg når jeg opplever et sikkerhetsbrudd?
Dersom du står midt oppe i situasjonen hvor det har forekommet et sikkerhetsbrudd i din virksomhet eller organisasjon, kan du ta kontakt med oss på telefon og vi vil bistå med videre prosess.
GDPR
PersondataSupport AS har utviklet en GDPR-portal som hjelper deg å løse utfordringer knyttet til GDPR. Tjenesten er en nettbasert portal designet for å veilede og dokumentere, samt skape bevissthet rundt GDPR for hele organisasjonen. Portalen gjør det langt enklere å være GDPR-compliant uten store kostnader eller ressurskrevende prosesser og passer for alle bedrifter om sitter på personopplysninger. Portalen oppdateres kontinuerlig med instruksjoner og vedtak fra Datatilsynet.
Kilde: https://persondatasupport.as/hvis-du-faar-databrud/
