Håndter brudd på personopplysnings­sikkerheten

Avvik kan skje helt uventet. Når et avvik er oppdaget, må du så snart som mulig foreta en intern gransking og avgjøre om hendelsen skal rapporteres. Med verktøyet Privacy Incident, går etterforskningen raskt og dokumentasjonen blir korrekt.

Strukturer arbeidet nå - så du kan spare tid i morgen

Med rutiner for å oppdage og etterforske mulige avvik er halvparten av arbeidet gjort. Når et avvik inntreffer, må du raskt analysere hendelsen og ta flere avgjørelser:

  • Hva er årsaken til avviket?
  • Hvor mange mennesker er berørt?
  • Utgjør avviket en risiko for de registrerte?
  • Bør de registrerte informeres?


Et avvik er sjelden en isolert hendelse - Det er derfor viktig at samtlige i virksomheten vet hva som må gjøres. Med et systematisk personvernarbeid sparer du tid og håndteringen blir enklere. Dokumentasjonen din blir samlet inn, og du kan lære fra tidligere hendelser.

personuppgiftsincidenter-statistik-2020.svg

 

Avvik basert på Datatilsynets årsrapport fra 2020. Personopplysninger sendt til feil mottaker 38 %, manglende eller feil i tilgangsstyring 17 %, utilsiktet publisering 7 %, hacking 5 %.

Hva regnes som et avvik?

Et avvik er når en eller flere registrerte utsettes for risiko på grunnlag av at deres personlige data er blitt kompromittert på en eller annen måte. Den juridiske definisjonen av et avvik finner man i personvernforordningen, artikkel 4 nr. 12:


I følge bestemmelsen er et brudd på personopplysningssikkerheten “et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet”.


Personopplysningene trenger ikke nødvendigvis å ha blitt brukt feil av uvedkommende, men det kan være tilstrekkelig at informasjon har blitt tilgjengelig for personer som ikke skal ha tilgang. Personvernforordningen skiller ikke mellom tilfeller der hendelsen var forsettlig eller om det var resultatet av en feil. For å unngå unødvendige risikoer, er det hensiktsmessig å foreta en konsekvensvurdering av visse typer behandlinger.

Hva betyr uautorisert tilgang til personopplysninger?

Et vanlig type avvik er når noen får uautorisert tilgang til personopplysninger. Uautorisert tilgang innebærer at noen har fått tilgang til personopplysninger uten tillatelse. Dette kan for eksempel skje ved at:

  • tillatelser til et IT-system er tildelt feil eller for generelt
  • personopplysninger har vært tilgjengelig i et felles lagringsområde uten autorisasjonskontroll
  • en person bevisst får tilgang til personlige data, selv om han eller hun ikke har rett til det

64_energy-red.svg

 

Uautorisert tilgang kan både være internt og eksternt, og kan forekomme utilsiktet eller med forsett. En spesiell kategori av uautorisert tilgang er såkalte phishing-angrep. Dette betyr at nettbrukere blir lurt til å avsløre sensitiv informasjon som deretter kan brukes til svindel. Gjennomgå strategien din for personvernarbeid for å oppdage mulige risikoer i organisasjonen.

Lær opp din virksomhet og reduser risikoen for avvik

Visste du at halvparten av alle avvik skyldes menneskelige feil? De vanligste årsakene er feilaktig autorisasjon eller e-post som sendes til feil mottaker.

Ved å lære opp din virksomhet innen personvern reduserer du risikoen for avvik. Med Privacy E-læring kan alle delta. Oversikten gir deg kontroll over hvem som har fullført kurset, og det er enkelt å legge til andre relevante kurs når du vil.

Slik fungerer Privacy E-læring

Kontakt oss for neste steg

Kontakt oss for en samtale der vi sammen kartlegger hvordan vi best kan støtte ditt personvernarbeid!