NO
NO EN DE
Tilbake til nyheter

IT-Gruk 6/2023: Personvern anno 2023

5. mai, 2023
I 1998 ble jeg første gang introdusert for personvern. Institutt for rettsinformatikk trengte noen vitenskapelige assistenter til å jobbe med e-handel på tvers av landegrenser. Prosjektet var en del av et EU-prosjekt som skulle fokusere på juridiske utfordringer med e-handel, som personvern. Unge Peter, som kunne litt om teknologi, lovvalg og jurisdiksjon, måtte sette seg inn i forarbeidene til den kommende personopplysningsloven og personverndirektivet fra 1995 for å forstå hvordan e-handelsbutikker skulle samle inn og bruke data om sine kunder. Jeg må innrømme at jeg ikke så for meg hvor viktig personvern ville være 25 år senere. Datatilsynet har nettopp publisert årsrapporten for siste års aktiviteter. Her er en liten oversikt over noen tall fra rapporten og spesielt om meldeplikten.

Mai-måned i år markerer 5-årsdagen for ikrafttredelsen av personverndirektivet i EU. Mye har skjedd de siste 5 årene. Fra å være et fagområde for spesielt interesserte, er personvern i langt større grad blitt kunnskap for alle. Dette går også tydelig frem i årsrapporten til Datatilsynet som viser at det i 2019 var 45 ansatte i Datatilsynet mot 68 ved utgangen av 2022. Antall saker har likevel vært relativt stabilt og kun gått fra 3 118 til 3 519 i samme periode, mens vedtakene har økt marginalt fra 285 til 301. Det som har økt mest er antall innsynsbegjæringer som har gått fra 3 437 til 6 916 og antall sanksjoner som har gått gradvis fra 11 overtredelsesgebyr i 2019, til 26 i 2021 og 17 stykker i 2022. Det interessant å registrere at Datatilsynet også har begynt å bruke andre sanksjoner enn overtredelsesgebyr ved at 2022 viste oss hele 37 irettesettelser. Verken 2019 eller 2020 viser bruk av irettesettelser.

Et annet interessant tall er økningen i antallet meldte avvik. For årene 2019-2022 gikk antallet fra 1 893 til 2 250 meldinger. I seg selv er dette ikke en stor økning, men det er nyttig å se det opp mot de 349 avviksmeldingene som ble sendt i 2017, dvs. året før GDPR trådde i kraft med sine gebyrer. Datatilsynet selv viser også til at de antar det er et større mørketall av avvik som forekommer. Grunnen er kanskje bekymringen for eventuelle sanksjoner ved å melde avvik til Datatilsynet og manglende kjennskap til regelverket.

Her kan det minnes på at avvik i personvernet vil forekomme. Vår verden er ikke perfekt og må tåle risiko for feil. En avviksmelding vil derfor ikke i seg selv resultere i et overtredelsesgebyr. Reglene om å melde avvik følger av GDPR art. 33. Kort fortalt, plikter enhver virksomhet å melde om brudd på personvernsikkerheten innen 72 timer fra det er kjent til Datatilsynet. Det er bare unntaksvis, hvis «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» at det ikke skal meldes. Merk at meldingen til Datatilsynet forutsetter ikke at du kjenner til alle sider av bruddet.

I mars fikk Argon Medical Devices et overtredelsesgebyr fra Datatilsynet på 2,5 MNOK basert på et sikkerhetsbrudd som fant sted i juli 2021, og først meldte det i september 2021. Argon mente de ikke trengte å melde før de hadde fullstendig oversikt over hendelsen og konsekvensene. Datatilsynet var uenige og ila gebyret basert på at fristen begynner å løpe nå behandlingsansvarlig blir klar over det som har skjedd. Lærdommen er å sjekke varslingsrutinene og sørge for at det heller meldes raskere med mindre informasjon enn at fristen på 72-timer blir oversittet.

En annen lærdom fra Datatilsynets rapport er at av de 2 250 meldingene som Datatilsynet mottok så ble 1 864 lukket uten grundigere saksbehandling og kun et veldig lite antall resulterer i overtredelsesgebyr (17). Det vil si at over 80 % av meldingene blir avsluttet uten videre behandling. Datatilsynet viser til at dette er grunnet ressurskapasitet, men det må være grunn til å anta at de meldinger som avsluttes ikke gir grunnlag for spesielt bruk av ressurser. Datatilsynet må prioritere sine ressursbruk ut fra de meldinger som vurderes å være mest personverninngripende. Derfor er lærdommen å melde innen 72 timer fra en har kunnskap om bruddet viktig.

Hvilken type meldinger er det så Datatilsynet mottar. Datatilsynet kategoriserer meldingene på følgende måte:

  • Personopplysninger sendt til feil mottaker (41 %)
  • Annet; Manglende testing, opplæring, lagring på feil sted, manglende reservekopiering, manglende innebygget personvern og andre faktorer (21 %)
  • Manglende feil i tilgangsstyring/mulighet for utilsiktet tilgang (12 %)
  • Utilsiktet publisering (11 %)
  • Papirdokumenter tapt, stjålet eller etterlatt (4 %)
  • Eksterne angrep (4 %)
  • Opplysninger om feil person er vist frem (2 %)
  • Epost/brev er gått tapt eller åpnet av feil person (1 %)
  • Tapt eller stjålet enhet (1 %)
  • E-avfall (personopplysninger fortsatt på gamle enheter/ikke slettet) (<1 %)
  • Feilaktig avhending eller makulering av papirdokumenter (<1 %)

Meldingstypene som utgjør over 80 % viser at meldinger ikke nødvendigvis er av veldig alvorlig karakter. For den største gruppen av meldinger, så viser Datatilsynet til at «disse sakene utløser som oftest ingen reaksjon fra vår side, og de berørte personene er som regel informert om avviket når meldingen kommer inn til oss». Lærdommen her, sørg for å vise at du har kontroll på avviket og har løst bruddet med tiltak, inkludert at de berørte er varslet. Da er det også mer sannsynlig at Datatilsynet ikke vil ha behov for å prioritere den meldingen.

Til slutt kan en merke seg at avviksmeldingene kommer fra forskjellige virksomheter. En tredjedel kommer fra kommunesektoren, hvor Bergen og Oslo kommune er flinkest i klassen (skal stå: «melder inn klart flest brudd»). Finanssektoren kommer på andre plass med 19 % av meldingene mens «annen privat» kommer på tredjeplass med 12,7 % av alle meldinger. «Annen privat» er andre virksomheter innen privat sektor som ikke faller inn under andre kategorier som telekom, varehandel eller overnatting/servering.

Resten av årsrapporten finner du her: https://www.datatilsynet.no/om-datatilsynet/arsmeldinger/arsrapport-for-2022/

Oppsummeringen fra dagens IT-Gruk:

  • Sjekk at virksomheten din har en rutine på plass for å melde avvik til Datatilsynet?
  • Det er ikke farlig å melde avvik, men det er en plikt. Sørg for rutiner som sikrer at avviket meldes innen 72 timer til Datatilsynet fra behandlingsansvarlig blir kjent med avviket.
  • Gjør deg kjent med typer meldinger som sendes til Datatilsynet – Det blir enklere å sende melding når avviket forekommer hos deg.
  • Ikke glem å vurdere varsling av de berørte, samt å gjennomføre det hvis det er nødvendig.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel. 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.

employee
Peter Lenda
Partner
pele@grette.no (+47) 924 01 652

Flere nyheter

Lagmannsretten: Utested har rett til å fastsette høyere aldersgrenser enn minstekravene i alkoholloven
Les mer
Påminnelse om nye lovendringer fra 1. juli 2024
Les mer
Lagmannsretten: Oppsigelse av arbeidstaker som hadde fått innvilget permisjon for å ta etterutdanning, men i realiteten sonet en straffedom, var gyldig
Les mer
Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs