Glemt Passord?

Veileder - Personopplysninger på avveier
Veiledningen har til hensikt å hjelpe kommunen i å håndtere personopplysninger på avveie.

Innledningsvis legges det vekt på betydningen av preventive tiltak ved å innføre gode rutiner og å ta nødvendige forholdregler for å unngå at en uønsket situasjon oppstår. I dette ligger at virksomheten har klarlagt ansvarsforhold, gjennomført nødvendige sikkerhetstiltak og etablert nødvendige beredskap dersom slike hendelser likevel skulle skje. I tillegg skal de ansatte ha fått nødvendig opplæring for å håndtere mulige situasjoner. Rask handling er blant de viktigste kriteriene for gode resultater hvis uønskede situasjoner skulle oppstå.  Alle trinnene må ikke nødvendigvis følges, og det kan også være aktuelt å kombinere enkelte av trinnene.

Hvordan definere brudd på personvern

Et brudd på personvernet i denne sammenheng oppstår når uautoriserte personer/virksomheter har fått tilgang til, benyttet eller skaffet til veie noens personlig informasjon. Denne typen aktivitet er normalt ulovlig etter personopplysningsloven. I noen tilfeller vil også straffelovens bestemmelser kunne komme til anvendelse. Noen av de mest vanlige bruddene på personvern skjer når personlig informasjon om kunder, pasienter, klienter eller ansatte forsvinner, blir stjålet eller forlegges (for eksempel om en datamaskin som inneholder personlig informasjon blir stålet eller denne typen informasjon sendes til feil e-post adresse eller lignende). Brudd på personvernet kan også oppstå som en konsekvens av en feilaktig fremgangsmåte eller driftsstans.

Fem trinn til økt ansvarlighet i responsen på en personvernkrise.

Det er fem hovedtrinn man bør vurdere i forbindelse med et brudd eller mistanke om brudd på personvernbestemmelsene:

  1. Begrensning av krisen og forberedende omfangsvurdering
  2. Vurdering i forhold til omfanget av det spesifikke bruddet på personvernet
  3. Varsling
  4. Skadeopprettende tiltak
  5. Forhindre gjentakelse

Det viktigste er at enhver situasjon tas på alvor og at det umiddelbart igangsettes tiltak for å klarlegge det potensielle overtrampet. Trinn 1, 2 og 3 bør enten gjennomføres parallelt eller i rask rekkefølge. Trinn 4 må ses i sammenheng med trinn 2, men har samtidig til hensikt å presisere at skadeopprettende tiltak kan ha langsiktige mål. Trinn 5 anbefales som en langsiktig strategi med tanke på å forebygge lignende hendelser i fremtiden. Avgjørelsen om, og valget av respons bør vurderes fortløpende i hvert enkeltåstående tilfelle.

Trinn 1: Begrensning  av krisen og forberedende omfangsvurdering

  • Det er viktig at det snarest mulig igangsettes strakstiltak for å begrense omfanget av lekkasjen (dette kan for eksempel være å stoppe den uautoriserte fremgangsmåten, gjenskaping av dokumentene/registeret, avstenging av systemet hvor uautorisert utlevering har skjedd, opphevelse eller endring av koder eller svakheter i fysisk eller elektronisk sikkerhet involvert  sikkerhetsbruddet).
  • En person bør utnevnes til leder for den innledende kartleggingen. Denne personen må innvilges nødvendig spillerom innen organisasjonen til å kunne gjennomføre den innledende granskningen, og til å kunne komme med foreløpige anbefalinger for videre tiltak/behandling av krisen.
  • Det må vurderes om det er nødvendig å utnevne en gruppe bestående av representanter fra ulike eller berørte avdelinger/grupper innen virksomheten. Vær likevel tydelig i forhold til hvem som leder arbeidet, slik at ikke eventuelle konflikter om ansvar mellom avdelinger hindrer arbeidet.
  • Det må vurderes hvilke personer både internt og eksternt som skal eller bør varsles om hendelsen innledningsvis. Utvid deretter omfanget av varslingen internt etter nødvendighet og behov.
  • Hvis overtredelsen ser ut til å omfatte tyveri eller andre kriminelle handlinger må politiet varsles.
  • Det er viktig at den  interne prosessen ikke undergraver mulighetene for en eventuell etterfølgende politietterforskning. Vær forsiktig i forhold til å ikke forspille bevis som senere kan vise seg verdifulle. Disse kan bidra til å forklare hvordan overtredelsen kunne skje og eventuelt hvem som kan lastes for den.

Trinn 2: Vurdering i forhold til omfanget av det spesifikke bruddet på personvernet       

For å avgjøre hvilke tiltak som umiddelbart må igangsettes, er det viktig å kartlegge risikoen forbundet med overtredelsen. Følgende faktorer bør vurderes som en del av denne kartleggingen:

(i) Personlig informasjon involvert
  • Hvilken type personinformasjon er på avveie?
  • Hvor store mengder informasjon er omfattet av lekkasjen?
  • Hvor sensitiv er denne informasjonen? En generell regel er at desto mer sensitiv informasjonen er, jo høyere er risikoen for at enkeltindivider vil rammes. Lovverket har  klare definisjoner på hva som er sensitive personopplysninger. Vær likevel oppmerksom på at publikums opplevelse av hva som er sensitive opplysninger kan strekke seg utover regelverkets definisjoner (for eksempel statlig utstedt informasjon som person-, pass- eller førerkortnummer og finansielt relaterte opplysninger som kredittkort eller bankkortnummer som i kombinasjon kan benyttes for identitetstyveri).
  • En kombinasjon av personlig informasjon er vanligvis mer potent enn deler av den samme informasjonen vil være enkeltvis. Det er viktig å merke seg at sensitivitet alene ikke er det eneste kriteriet for å vurdere      skadepotensialet.
  • Hva er omstendighetene rundt den personlige informasjonen det dreier seg om? For eksempel, en liste med oversikt over adresser på en avisrute er muligens ikke særlig beskyttelsesverdig informasjon. En liste over adresser til aviskunder som har avbestilt avisen fordi de skal på ferie kan være mye mer følsom. Samtidig kan offentlig tilgjengelig informasjon tilsvarende den  informasjonen som er tilgjengelig i telefonkatalogen være mindre beskyttelsesverdig.
  • Er den personlige informasjonen tilstrekkelig kodet/kryptert, anonymisert eller gjort vanskelig tilgjengelig?
  • Hvordan kan den personlige informasjonen benyttes? Kan den misbrukes til kriminell virksomhet?  Kombinasjonen av enkelte typer beskyttelsesverdig personlig informasjon sammen med navn, adresse og fødselsdato kan indikere en høyere risikofaktor på grunn av faren for identitetstyveri.

En vurdering av hvilken type personlig informasjon som er omfattet/berørt vil være med på å avgjøre hva virksomheten bør foreta seg i respons på overtredelsen, hvem som bør involveres, hvilken type varsling som bør sendes til de involverte. For eksempel hvis en bærbar datamaskin med tilstrekkelig kryptert informasjon er stjålet og deretter gjenfunnet, og nærmere undersøkelser viser at informasjonen ikke har vært rørt, kan det vurderes som unødvendig å varsle berørte parter.

(ii) Årsak og omfang av overtredelsen
  • I den grad det er mulig; kartlegg årsaken til og omfanget av overtrampet.
  • Er det en risiko for pågående overtredelse eller videre avsløring av informasjonen?
  • Hva er omfanget av den uautoriserte tilgangen til, innsamlingen av, bruken av eller avsløringen av personlig informasjon. I vurderingen må det tas hensyn til hvor mange og hvem som er de antatte mottagerne samt hvilken risiko det knytter seg til dette.
  • Ble informasjonen mistet eller ble den stjålet? Hvis den ble stjålet, er det mulig å avgjøre om dette var et planlagt tyveri eller ikke?
  • Har den personlige informasjonen kommet til rette?
  • Hvilke tiltak er igangsatt for å begrense skadeomfanget?
  • Skyldes dette et problem med systemet eller er det en engangshendelse?

(iii) Hvilke individer er berørt
  • Hvor mange individers personlige informasjon er rammet av hendelsen?
  • Hvem er berørt av hendelsen: ansatte, leverandører, allmennheten, kunder, tjenesteleverandører eller andre organisasjoner/virksomheter?
(iv) Anslått skade som følge av hendelsen
  • Har virksomheten vurdert den enkeltes forventninger i vurdering av muligheten for påregnet skade?  Enkelte vil for eksempel anse en liste over abonnenter av et nisjemagasin som potensielt er mer skadelig enn en liste over abonnenter av en riksdekkende avis.
  • Hvem er mottagerne av informasjonen? Er det noe sammenheng mellom de/den uautoriserte mottageren(e) og typen informasjon? For eksempel; ble informasjonen videreformidlet til intetanende personer eller til personer som kan mistenkes å være involvert i kriminell aktivitet hvor det er et potensial for at informasjonen kan misbrukes? Var mottageren en kjent instans eller person som du/dere stoler på som høyst trolig vil returnere informasjonen uten å videreformidle eller benytte den på noen måte?
  • Hvilken skade kan hendelsen tenkes å resultere i for de berørte individene? Eksempler inkluderer:
          - Sikkerhetsrisiko (for eksempel fysisk tyveri).
          - Identitetstyveri
          - Økonomisk tap
          - Tap av forretningsvirksomhet eller karrieremuligheter; eller
          - Ydmykelse eller krenking av omdømme eller forbindelser.
  • Hvilken skade kan organisasjonen eller virksomheten påføres som følge av hendelsen?  Eksempler kan være:
  •       - Svekking av  tilliten til organisasjonen/virksomheten;
          - Tap av eiendeler;
          - Økonomisk blottgjøring eller;
          - Søksmål (for eksempel gruppesøksmål)
          - Kan varsling av overtrampet resultere i at allmennheten blir skadelidende? Med skadelidende menes at det er: fare for allmennhetens helse; eller fare for allmennhetens sikkerhet.)

Trinn 3: Varsling

Varsling kan være et viktig element i å redusere følgeskader av hendelsen, både for virksomheten og individene som er rammet av hendelsen. Hvis en lekkasje av personopplysninger fører til at det oppstår en fare for enkeltindivider, skal de/den berørte varsles. Manglende varsling kan også få konsekvenser for eventuelt straffeansvar eller erstatning i ettertid. Umiddelbar varsling kan være med på å dempe skaden fordi individene da får en mulighet til å ta nødvendige forholdsregler for å beskytte seg. Utfordringen ligger i å avgjøre når denne varslingen skal utføres. Hver hendelse må vurderes separat med tanke på å avgjøre om det er nødvendig å varsle den/de involverte. Virksomheter har også en varslingsplikt ovenfor Datatilsynet, jf. Personopplysningsforskriftens § 2-6.

Den viktigste vurderingen er om varslingen av den/de berørte individer er nødvendig med tanke på å unngå videre skade på eller for å formilde skaden på enkeltindividet mest mulig hvis det er klart at informasjon har blitt lest, videreformidlet, samlet inn eller benyttet. Virksomheten bør samtidig vurdere hvilken evne individet selv har til å formilde skaden, eventuelt hvilken bistand som kan gis.

(i) Varsling av berørte individer

Virksomheter bør vurdere følgende faktorer når de bestemmer om de skal foreta varsling:

  • Hvilke lovpålagte og/eller kontraktsbudne vilkår har virksomheten?
  • Hvor stor er risikoen for at enkeltindivider kan komme til skade?
  • Hvor stor er risikoen for identitetstyveri eller forfalskning (dette avgjøres vanligvis på grunnlag av hvilken type informasjon som har blitt borte, for eksempel navn og adresse sammen med fødselsnummer)?
  • Finnes det noen risiko for fysisk skade (kan informasjonen som har kommet på avveie kan sette individet i fare for fysisk skade, forfølgelse eller trakassering)?
  • Er det fare for ydmykelse eller at individets rykte kan skades (for eksempel i tilfeller der informasjon omfatter mentale helseopplysninger eller opplysninger om medisinske eller disiplinære forhold)?
  • Hvilken evne har individet selv til å unngå eller formilde mulig skade?
ii) Når skal man varsle, hvordan skal man varsle og hvem skal varsle

På dette stadiet i prosessen bør virksomheten ha en så komplett oversikt som mulig over risikofaktorer. I tillegg bør en vurdering være gjennomført, avsluttet og ha konkludert i forhold til om berørte individer bør varsles.

Når skal man varsle: Varsling av individer som er berørt av hendelsen bør skje så fort som mulig etter at situasjonsvurderingen er gjennomført. Dersom Politiet eller andre myndigheter er involvert, er det imidlertid viktig at man rådfører seg med disse organene i forhold til om varslingen bør utsettes for eksempel for å sikre at den ikke kan ha noen innvirkning på etterforskningen.

Hvordan skal man varsle: Den beste måten å varsle på er direkte for eksempel via telefon, brev, e-post eller ved personlig overbringelse av nyheten til dem som er berørt. Varsling bør dokumenteres, slik at virksomheten kan bevise at dette er gjort i ettertid. Indirekte varsling for eksempel via webside informasjon, oppslag eller gjennom media bør generelt kun forekomme når direkte varsling kan forårsake videre skade, er umulig av kostnadsmessige årsaker (må begrunnes særskilt) eller at en ikke har tilgjengelig kontaktinformasjon til de rammede. Det kan i enkelte tilfeller være tilrådelig å benytte flere enn en varslingsmåte. Det bør alltid foretas en vurdering av om varslingsmetoden kan innebære noen som helst fare for økning av skadeomfanget (for eksempel ved at personen som har stjålet en bærbar datamaskin varsles om hvor verdifull informasjonen på datamaskinen er/kan være).

Hvem skal varsle: Generelt sett bør virksomheter som har et nært forhold til sine kunder, klienter eller ansatte varsle disse selv. Dette gjelder også hvis hendelsen har skjedd hos en underleverandør som er kontraktfestet til å oppbevare eller håndtere den personlige informasjonen. Det forekommer imidlertid situasjoner der omstendighetene tilsier at det er mer passende at varslingen overlates til en tredjepart. For eksempel hvis en butikk har videresendt kredittkortinformasjon vil det være naturlig at det er selskapet som har utstedt kredittkortet som varsler kunden, ikke butikken. Dette siden selskapet er ansvarlig og har tilgang til korrekt kontaktinformasjon.

(iii) Hvilken informasjon skal varslingen inneholde?

Innholdet i varslingen vil variere avhengig av den spesifikke hendelsen og hvilken varslingsmetode som er valgt. Varslingsinformasjonen må tilpasses det spesifikke tilfellet, men bør generelt sett inneholde:

  • Beskrivelse av hva som har skjedd og når.
  • Informasjon om hvem som er berørt.
  • Beskrivelse av hvilken type personlig informasjon som er omfattet.
  • En generell beskrivelse av hva organisasjonen/virksomheten har foretatt seg for å ta kontroll over og begrense skaden.
  • Hvilke skadeopprettende tiltak som er foretatt som er gjennomført.
  • Hva virksomheten vil foreta seg for å hjelpe de involverte personene, og hva hvert enkelt individ kan foreta seg for å unngå eller begrense skadeomfanget og samtidig beskytte  seg mot fremtidig skade. Alternativer her kan være å autorisere kreditovervåking eller andre preventive verktøy.
  • En oversikt over og kontaktinformasjon til kilder som har utfyllende informasjon om identitetstyveri og hvordan hver enkelt kan beskytte seg mot dette. Les mer om ID-tyveri her.
  • Kontaktinformasjon til den avdelingen eller kontaktpersoner i virksomheten som kan svare på spørsmål om hendelsen.
  • Dersom virksomheten har varslingsplikt etter personopplysningsforskriftens § 2-6 og Datatilsynet er varslet, bør dette oppgis slik at det går frem at personvernmyndighetene er klar over situasjonen.
  • Informasjon om hvem, utenom virksomhetens kontaktperson eller ansvarlig, som kan kontaktes i forbindelse med personvernspørsmål.
  • Kontaktinformasjonen til relevante personvernmyndigheter.
  • Vær forsiktig så ingen unødvendige personopplysninger inkluderes i varslingen slik at videre uautorisert misbruk unngås.
(iv) Andre som skal eller kan kontaktes 

 

Datatilsynet: Virksomheter vil i mange tilfeller være pliktig til å rapportere brudd på personvernlovgivningen til Datatilsynet. Tilsynet vil hjelpe dem å svare på henvendelser fra publikum og behandle eventuelle mottatte klager. I tillegg kan tilsynet gi virksomheten nyttige råd og veiledning i hvordan krisen skal håndteres.

Varslingen til Datatilsynet vil signalisere til publikum at virksomheten tar hendelsen alvorlig. Følgende faktorer bør vurderes før avgjørelsen om rapportering til Datatilsynet tas.

Finnes det gjeldende lovgivning som krever varsling i det konkrete tilfellet, i så fall bør følgende informasjon inngå:

  • Hvilken del av informasjonen som er kommet på avveie omfattes av gjeldende personvernlovgivning?
          - Beskrivelse av hendelsen
          - Hvilken type personopplysninger er omfattet: Er det fare for at informasjonen kan:
          - misbrukes til å avsløre beskyttelsesverdige personlige forhold, i tilfelle hvilke?
          - misbrukes til økonomisk vinning?
          - misbrukes til å gjennomføre identitetstyveri?
          - misbrukes til å skade den/de involverte, inkludert ikke-økonomisk skade?
          - Hvor mange individer er berørt?
          - Er noen av de berørte individene varslet?
          - Er det grunn til å tro at personvernmyndighetene vil motta klager eller forespørsler angående overtredelsen?

Uavhengig av hva virksomheten definerer som sine plikter i forhold til varsling av berørte individer eller Datatilsynet, bør det også vurderes om følgende skal informeres:

  • Politiet: dersom det er mistanke om tyveri eller andre kriminelle handlinger.
  • Forsikringsselskap eller andre virksomheter: dersom man er kontraktfestet til å gjøre dette.
  • Interesseorganisasjoner eller andre viktige interessegrupper: dersom det foreligger interesseorganisasjoner det er naturlig å varsle eller standarder innen bransjen som krever at en spesiell interessegruppe skal varsles. 
  • Kredittkortfirma,  finansielle institusjoner eller kredittopplysningsbyråer: dersom deres assistanse er nødvendig for å kunne kontakte berørte individer eller at de kan hjelpe til med å for eksempel formidle skaden.
  • Andre interne eller eksterne grupper som ikke allerede er varslet:
          - Underleverandører eller andre parter som kan bli berørt.
          - Interne enheter som ikke tidligere er varslet om hendelsen. For eksempel kommunikasjons- og mediekontakter, øverste ledelse etc.; eller
          - Fagforening eller andre forhandlingskanaler/organisasjoner for de ansatte.

Organisasjoner/virksomheter bør fortløpende vurdere den potensielle effekten av hendelsen, og hvilken effekt varsling av enkeltindivider kan eller vil ha på en tredjepart. For eksempel kan det være nødvendig å involvere en tredjepart dersom enkeltindivider ønsker å kansellerer kredittkortet sitt eller dersom en finansiell institusjon må utstede et nytt kort.

Trinn 4: Skadeopprettende tiltak

Når ulykken først har skjedd og personopplysninger har kommet på avveie, er det viktig at virksomheten gjør sitt ytterste for å rette opp skaden. Virksomheten har påtatt seg et behandlingsansvar. I det ligger også et ansvar for å håndtere eventuelle uønskede hendelser. I mange tilfeller er årsaken til at personopplysninger kommer på avveie at virksomheten ikke har sikret informasjonen forsvarlig. Årsaken til hendelsen er imidlertid noe som kan og bør drøftes inngående i forbindelse med trinn 5. Det viktigste under trinn 4 er å forsøke å gjenopprette normaltilstand.

Det mest sentrale i forhold til gjennomføringen av skadeopprettende tiltak vil være å:

  • bringe klarhet i hvor informasjonen kan ha blitt spredd,
  • enten ved eget initiativ, eller ved å bistå Politiet i arbeidet og å sette inn målrettede tiltak for å finne kilder til eventuell videre spredning,
  • så langt det rimelig kan forventes, vurdere om informasjonen kan ha verdi for kriminelle aktører, herunder hvordan informasjonen kan anvendes.
  • Informere de som kan rammes og gi råd om hvilke forholdregler de kan ta (se for øvrig trinn tre om varsling).
  • over tid, klargjøre om  informasjonen er tilgjengelig via søkemotorer. I den grad dette er en realitet, ved eget initiativ eller ved hjelp av politi finne kilden for publiseringen. Ta kontakt med aktuell søkemotor og be om at indeksering og eventuell lagring av informasjon fjernes.
  • endre kundenummer og andre identifikatorer i virksomhetens i interne systemer, slik at verdien av informasjonen som er på avveie reduseres. Utstede nye kundekort eller liknende til berørte.
  • bistå de berørte ovenfor tredjeaktør i den grad dette er nødvendig for å ivareta de berørtes trygghet.
  • opprettholde en intern beredskap i forhold til henvendelser fra personer som forsøker å misbruke  informasjonen i egen virksomhet.

En av de viktigste truslene mot spredning av informasjon er Internett. Informasjonen spres utrolig raskt og det foreligger alltid muligheter for at noen har kopiert innholdet. En virksomhet kan derfor aldri være helt sikker på at det ikke har skjedd en uønsket spredning. Selv informasjon som er kryptert før den har kommet på avveie vil kunne knekkes over tid. I praksis er det derfor riktig å snakke om at virksomheten med rimelighet forvisser seg om at tilstrekkelige tiltak er gjennomført.

Skadeopprettende tiltak vil ofte innebære en innsats både fra virksomheten selv, fra Politiet og fra den berørte. Virksomheten som har hatt forvaltningsansvaret for personopplysningene bærer hovedansvaret for skadeopprettende tiltak. Likevel kan det være nødvendig å involvere den/de berørte, siden det kan være nødvendig med ekstra vaktsomhet fra vedkommendes side. Rollefordelingen mellom de tre aktører er helt avhengig av hva slags informasjon som er på avveie.

Dersom virksomheten er usikker på hva den bør foreta seg, kan de være nyttig å søke råd hos Datatilsynet.

Trinn 5: Forhindre gjentakelse

Så fort de nødvendige forholdsregler for å formilde risikoen forbundet med hendelsen er gjennomført, må det settes av tid til å undersøke hva som var årsaken. Det må også foretas en vurdering av  behovet for en forebyggende plan. Hvor omfattende planen skal være kommer an på hvor betydningsfullt overtrampet av personvernet har vært, og om det var et systematisk overtramp eller et isolert tilfelle.

En forebyggende plan kan for eksempel inneholde følgende: 

  • En risikovurdering av  fysisk og teknisk sikkerhet, herunder en gjennomgang av om sikkerhetstiltakene er tilstrekkelig sett i lys av forutgående hendelse.
  • En gjennomgang av fremgangsmåter, prosedyrer og implementering av eventuelle endringer eller en innføring av nye rutiner som en refleksjon av funnene i undersøkelsen.
  • En gjennomgang av de  ansattes opplæring; og
  • En gjennomgang av hvilke underleverandører man har, og hvilken rolle de har i forhold til eventuelle avdekkede svakheter.
  • En tiltaksplan som inkluderer beslutninger om gjennomføring av nødvendige tiltak.

Den endelige planen kan tenkes å inkludere et pålegg om gjennomføring av en gransking etter at prosessen er avsluttet.

Personvernombudet i Tana kommune

Tana kommune har inngått avtale med Sikri om Personvernombudstjenesten.

Kontaktinformasjon:
Sikri
v/Bjørn Nilsen
Personvernombud
Mobil: +47 90689838
E-post: bjorn.nilsen@sikri.no

Postadresse:
Tana kommune
v/personvernombudet
Rådhusveien 24
9845 Tana
E-post: postmottak@tana.kommune.no

Tips en venn Skriv ut