Artikkel 5 (1) (D) GDPR
Definisjon av brudd på personopplysningssikkerheten
Definisjonen av brudd på personopplysningssikkerheten er angitt i artikkel 4 (12) i GDPR. Et brudd på personopplysninger er en type sikkerhetsbrudd som fører til ulovlig eller utilsiktet ødeleggelse, endring eller tap av personopplysninger. Alternativt fører sikkerhetsbruddet til uautorisert tilgang eller utlevering av personopplysninger som er lagret, overført eller på annen måte behandlet.
Selskaper for å forhindre brudd på personopplysninger
Selskapene skal iverksette egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger. Selskaper må med andre ord iverksette ulike tiltak for å forsøke å forhindre brudd på personopplysningssikkerheten. Her er noen tips om hvordan du kan unngå brudd på personopplysninger og minimere risikoen etter at et brudd på personopplysninger har skjedd:
- Dobbeltsjekk alltid at mottakeren av en SMS, brev eller e-post er riktig, før du sender meldingen som inneholder personopplysninger.
- Regelmessig kontrollere brukernes tillatelser til systemene som brukes i etableringen og behandle personopplysninger. Fjern brukertilgangsrettigheter når de ikke lenger trenger tilgang.
- Bruk Multi-Factor Authentication (MFA) når du logger inn på systemer som inneholder personopplysninger, der det er mulig.
- Bruk forskjellige og komplekse passord for applikasjoner / systemer, arbeidsdatamaskiner, mobiltelefoner, etc.
- Installer virusbeskyttelse på enheter som behandler personopplysninger, for eksempel arbeidsdatamaskiner.
- Sørg for at enheter som inneholder personopplysninger holdes oppdatert med den nyeste versjonen av programvaren.
Mulige konsekvenser av et brudd på personopplysningssikkerheten for de registrerte
Brudd på personopplysningssikkerheten fører til alvorlige konsekvenser for de registrerte. For eksempel:
- Svindel eller annen økonomisk skade.
- Skadelig spredning av rykter.
Eksempler på brudd på personopplysninger
Det er mange forskjellige typer hendelser som kvalifiserer som brudd på personopplysninger. Her er noen eksempler på vanlige brudd på personopplysninger:
Brudd på datasikkerheten
I tilfelle et datainnbrudd som involverer uautorisert tilgang til personopplysninger. Databrudd kan forekomme internt på en arbeidsplass eller eksternt av tredjeparter.
Ubesvarte e-poster
Når en person i et selskap sender en e-post som inneholder personopplysninger til feil mottaker, er det et brudd på personopplysninger.
Virusangrep
I tilfelle et virusangrep som fører til sletting av personopplysninger. Derfor er det nyttig å ha backup-filer, for å kunne gjenopprette data som ved et uhell har gått tapt eller ødelagt, om nødvendig.
Tyveri av datamaskin eller mobiltelefon
Hvis en arbeidsdatamaskin eller mobiltelefon inneholder personopplysninger og blir stjålet, er det et brudd på personopplysninger. Dette skyldes at det i slike situasjoner har vært tap av kontroll over personopplysningene som holdes på den stjålne enheten.
Dokumentere brudd på personopplysninger
Bedrifter må dokumentere alle brudd på personopplysningssikkerheten som har inntruffet. Dette gjelder uavhengig av om selskapet trenger å informere de registrerte eller / og rapportere hendelsen til den nasjonale databeskyttelsesmyndigheten. Det er derfor viktig for virksomheten å ha interne rutiner, loggbøker og annen nødvendig dokumentasjon for å kunne utarbeide en skriftlig oversikt over de brudd på personopplysningssikkerheten som har oppstått.
Informere de registrerte og/eller varsle om brudd på personopplysningssikkerheten til den nasjonale personvernmyndigheten
Dersom det oppstår et brudd på personopplysningssikkerheten, skal den behandlingsansvarlige i visse tilfeller meddele dette til de berørte registrerte. For eksempel, hvis kredittkortdetaljer har lekket, noe som kan føre til svært negative konsekvenser for datasubjekter. Ved å informere de registrerte om et brudd på personopplysningssikkerheten som involverer deres personopplysninger, kan de iverksette tiltak for å prøve å minimere risikoen. I tillegg må selskaper som er behandlingsansvarlige også varsle den nasjonale databeskyttelsesmyndigheten om brudd på personopplysninger som har skjedd i noen tilfeller.
Bøtelagt selskaper for sen varsling av brudd på personopplysninger
Det er visse typer brudd på personopplysninger som selskaper må varsle til den nasjonale databeskyttelsesmyndigheten. GDPR krever at meldepliktige hendelser rapporteres innen 72 timer etter at den behandlingsansvarlige ble oppmerksom på bruddet på personopplysningssikkerheten.
Andre lover kan imidlertid ha en kortere frist. For eksempel ble et selskap i Polen bøtelagt for ikke å varsle om brudd på personopplysninger innen 24 timer etter deteksjon i samsvar med telekommunikasjonsloven.
Personlige opplysninger
Brudd på grenseoverskridende personopplysninger
Det er ikke uvanlig at selskaper selger tjenester eller produkter til andre land innenfor EU/EØS. I tillegg opererer mange selskaper i flere EU-land. Som et resultat er det vanlig å behandle personopplysninger som tilhører personer i forskjellige land. Derfor kan et brudd på personopplysningssikkerheten i noen tilfeller knyttes til flere land, og i slike tilfeller er det et brudd på personopplysningssikkerheten over landegrensene. I slike tilfeller er det viktig for selskaper å vite hvilken databeskyttelsesmyndighet som er den ledende tilsynsmyndigheten.