Utskriftsvennlig versjon

Rutiner personopplysninger på avveie

Virksomheter som opplever at personopplysninger de har ansvar for er på avveier, bør treffe tiltak for å forhindre videre lekkasje av personopplysningene.

Virksomheten må først og fremst innføre gode rutiner og ta nødvendige forholdregler for å unngå videre spredning av personopplysninger. Forholdsreglene vil også kunne hindre at situasjonen utvikler seg til en krise:

  • Ansvarsforholdene må kartlegges, og det må gjennomføres nødvendige sikkerhetstiltak og etableres beredskap dersom videre spredning likevel skulle skje.
  • Ansatte må gis nødvendig opplæring for å håndtere mulige situasjoner som kan oppstå. Ansatte må kunne reagere raskt på situasjonen som har oppstått.

Brudd på personopplysningsloven

Det oppstår et brudd på personopplysningsloven når uautoriserte personer eller virksomheter har fått tilgang til, benyttet eller skaffet til veie noens personlige informasjon. Det å tilegne seg personopplysninger om andre er normalt ulovlig etter personopplysningsloven. I noen tilfeller, for eksempel dersom opplysningene brukes til å begå ID-tyveri, vil også straffelovens bestemmelser kunne gjelde.

Noen av de mest vanlige krenkelsene av personvernet skjer når personlig informasjon om kunder, pasienter, klienter eller ansatte forsvinner, blir stjålet eller mistes. Lekkasje av opplysninger kan også oppstå som en konsekvens av en feil eller driftsstans i virksomhetens systemer.

Hvordan håndtere at personopplysninger har kommet på avveier?

Dersom virksomheten opplever et brudd på personvernbestemmelsene, er det viktigste at enhver situasjon tas på alvor og at det umiddelbart igangsettes tiltak for å klarlegge hva som har skjedd, og omfanget av det. Som en hjelp til å komme i gang med dette, foreslår Datatilsynet at virksomheten gjennomfører ett eller flere av disse tiltakene:

  1. Begrense krisen og forberede en omfangsvurdering
  2. Vurdere omfanget av dette spesifikke bruddet på personvernet
  3. Varsle involverte parter
  4. Sette i gang skadeopprettende tiltak
  5. Forhindre gjentakelse

Trinn 1, 2 og 3 bør enten gjennomføres parallelt eller i rask rekkefølge. Trinn 4 må ses i sammenheng med omfangsvurderingen, men skadeopprettende tiltak vil samtidig ofte ha langsiktige mål. Trinn 5 anbefales å gjennomføre som en langsiktig strategi.

Dette betyr at tiltakene som iverksettes er ment å forebygge lignende hendelser i fremtiden. Det vil derfor bygge på det virksomheten har lært av denne hendelsen. Avgjørelsen om, og valget av reaksjon på hendelsen bør vurderes fortløpende i hvert enkeltstående tilfelle.

Trinn 1: Begrense krisen og forberede en omfangsvurdering

  • Virksomheten må så fort som mulig sette i gang strakstiltak for å begrense omfanget av lekkasjen. Et slik tiltak kan være å sørge for å stoppe den uautoriserte fremgangsmåten som er brukt for å gjennomføre innbruddet, å gjenskape dokumentene eller registeret som er berørt, stenge av systemet hvor uautorisert utlevering har skjedd, oppheve eller endre av koder eller svakheter i fysisk eller elektronisk sikkerhet involvert i sikkerhetsbruddet.
  • En person bør utnevnes til leder for krisehåndteringen. Denne personen må få nødvendig spillerom i virksomheten til å kunne gjennomføre den innledende granskningen, og til å kunne komme med foreløpige anbefalinger for videre tiltak og håndtering av krisen.
  • Det kan være nødvendig å utnevne en gruppe bestående av representanter fra ulike eller berørte avdelinger eller grupper innen virksomheten som skal være sentral i håndteringen av krisen. Vær tydelig i forhold til hvem som leder arbeidet, slik at ansvar mellom avdelinger er avklart og det ikke kan oppstå konflikter om dette som hindrer arbeidet.
  • Det må vurderes hvilke personer både internt og eksternt som skal eller bør varsles umiddelbart om hendelsen.
  • Hvis overtredelsen ser ut til å omfatte tyveri eller andre kriminelle handlinger, må politiet varsles.
  • Den interne prosessen må ikke undergrave muligheten for en eventuell etterfølgende politietterforskning. Sørg for å ikke forspille bevis som senere kan vise seg verdifulle. Disse kan bidra til å forklare hvordan og hvordan overtredelsen kunne skje og eventuelt hvem som kan lastes for den.
Laster...