Sikkerhetsbrudd og brudd på personopplysningssikkerheten

Med et strengt personvernregelverk og klare forventninger om tilstrekkelig datasikkerhet fra enkeltpersoner og myndigheter, er det avgjørende at virksomheter har klare og effektive rutiner for å ivareta sikkerheten og håndtere sikkerhetsbrudd på en god måte.

Sikkerhetsbrudd innebærer noen ganger brudd på personopplysningssikkerheten, definert i personvernforordningen som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet». Det må i alle tilfeller dreie seg om hendelser som etter omstendighetene fører til en risiko for svikt i konfidensialitet, integritet og/eller tilgjengelighet for personopplysningene.

I denne artikkelen vil vi kort redegjøre for hvordan virksomheter kan håndtere brudd på personopplysningssikkerheten, blant annet ved å gjøre nødvendige undersøkelser for å avklare omfanget av sikkerhetsbruddet.

Sikkerhetsbrudd – hva nå?

Når virksomheten oppdagelser sikkerhetsbrudd, må de handle raskt, slik at hensiktsmessige sikringstiltak kan iverksettes. I det alarmen går, er det ofte uklart hvor et eventuelt angrep kommer fra, og om det er eksterne eller interne hendelser som har utløst alarmen. Virksomheten bør i slike tilfeller ha en dokumentert og testet krisehåndteringsprosess, hvor blant annet gjennomgang av overvåkningssystemer og annet forensisk analysearbeid iverksettes.

Ved slike undersøkelser er det ofte nødvendig å gjennomgå større mengder loggdata fra brannmurer, it-systemer mv. Implementering av slike loggsystemer innebærer som oftest også overvåkning av ansattes bruk av elektronisk utstyr ved virksomheten. I utgangspunktet er slik overvåkning forbudt, men det følger av e-postforskriften at virksomheten kan overvåke ansattes bruk av elektronisk utstyr for «å avdekke eller oppklare sikkerhetsbrudd i nettverket». Å «avdekke» og «oppklare» sikkerhetsbrudd innebærer at loggdata kan inspiseres både ved den akutte sikkerhetshendelsen, samt i etterfølgende forensisk arbeid, hvor formålet er å avklare nærmere årsak og konsekvenser av et sikkerhetsbrudd.

Når virksomheten inspiserer loggdata, må personvernet ivaretas. Virksomheten må sikre at de kun behandler de opplysninger som er nødvendige for det formålet. I akuttfasen kan man analysere data som er nødvendige for å avdekke om det foreligger et sikkerhetsbrudd, og eventuelt hvordan dette kan stoppes. I senere faser vil formålet være å oppklare sikkerhetsbruddet.

Hvor store mengder loggdata som må analyseres i de enkelte tilfellene vil variere med type hendelse, men virksomheten må avslutte all analyse av loggene når sikkerhetsbruddet er «avklart» og/eller «oppklart». Alle undersøkelser og vurderinger skal dokumenteres i en intern rapport i virksomheten.

Brudd på personopplysningssikkerheten?

I tillegg til å identifisere hva som forårsaket sikkerhetsbruddet, må virksomheten avklare om dette utgjør et brudd på personopplysningssikkerheten. Brudd på personopplysningssikkerheten skal nemlig meldes inn til Datatilsynet så snart som mulig og senest 72 timer etter at bruddet er blitt oppdaget. Dersom virksomheter ser at nødvendige undersøkelser vil ta lenger enn 72 timer, skal det sendes et midlertidig varsel til Datatilsynet, med hva som er kjent så langt om bruddet.

Varsling til Datatilsynet er likevel ikke nødvendig dersom det kan sannsynliggjøres at bruddet ikke medfører en risiko for fysiske personers rettigheter og friheter. Unntaket skal tolkes strengt, og virksomheten bør være tilnærmet sikker i sin vurdering før de eventuelt beslutter ikke å melde fra om et brudd. Ved usikkerhet, bør Datatilsynet for ordens skyld varsles.

Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en «høy risiko» for fysiske personers rettigheter og friheter, skal virksomheten uten ugrunnet opphold også varsle de berørte om bruddet. Eksempler på brudd som kan innebære en «høy risiko» er identitetstyveri, økonomisk tap, skade på omdømme eller tap av konfidensialitet for taushetsbelagte personopplysninger.

Potensielle konsekvenser ved personvernbrudd

Sikkerhetsbrudd kan utgjøre en betydelig trussel mot virksomheters omdømme, og hvis brudd ikke følges opp innen lovverkets rammer, kan det føre til overtredelsesgebyrer, erstatningsansvar, og andre myndighetsreaksjoner. Vi anbefaler derfor at virksomheter investerer tilstrekkelig med tid og ressurser i forebyggende tiltak og utvikler robuste internkontrollsystemer for å avverge slike brudd. I tillegg er opplæring sentralt, så ansatte vet hva de skal – og ikke skal – gjøre når alarmen går.