Hva Datatilsynet forventer når du rapporterer et brudd

  • Hvordan behandler Datatilsynet meldingene om brudd på personopplysningssikkerheten?
  • Hva forventer Datatilsynet av avviksmeldingene – beskrivelse av årsak, risiko og tiltak?
  • Hva bør PVOs rolle være i håndteringen av avvikene og ved rapporteringen til Datatilsynet?

Dette er blant temaene representanter for Datatilsynet vil belyse når Personvernombudene inviterer til medlemsmøte 7. juni 2021 kl 13 – 15 i Teams.

Camilla Nervik

Blant innlederne er fagdirektør Camilla Nervik. Hun leder seksjon for offentlige tjenester i Datatilsynet.

På medlemsmøtet vil hun si mer om hvordan Datatilsynet håndterer rapporterte brudd, og hva som forventes av aviksmeldingene. 

Fagdirektør Ove Skåra er Datatilsynets personvernombud og kontaktperson for andre personvernombud. I 2020 ble det sendt inn litt over 2 000 meldinger om brudd på personopplysningssikkerheten fra norske virksomheter til Datatilsynet. Mange av avvikene som meldes inn gjelder tilfeller der personopplysninger blir sendt til feil mottaker.

– Mange e-postprogrammer har dårlig visning av mottakerens e-postadresse. Hva kan organisasjoner gjøre for å sikre at post kommer til riktig mottaker?

– En ting vi har gjort i Datatilsynet var å fjerne muligheten for autofullfør av eposten, slik at når jeg skal sende en epost til min gode kollega Nils, så ender den ikke hos Nils i Den norske kirke. Uten å være teknolog og sikkerhetsmenneske vil jeg tro at det også er annen funksjonalitet som kan aktiveres i epostprogrammet, for eksempel gir et advarende pling før man sender avgårde en epost med beskyttelsesverdig innhold, sier Ove Skåra.

– Spiller det noen rolle om den som henvender seg – den registrerte – starter kommunikasjonen ved å bruke en usikker e-postadresse, og forventer å få svar til denne?

– Dersom det er snakk om ikke-kryptert epost med særlige kategorier opplysninger, eller opplysninger om straffbare forhold, er det ikke slik at mottakeren kan «samtykke seg bort fra» sikker kommunikasjon. Den behandlingsansvarlige må fortsatt etterleve personvernforordningens artikkel 5 (1) (f) og artikkel 32 ved å  iverksette egnede tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå. For offentlig forvalting gjelder i tillegg eForvaltningsforskriften som stiller krav til forvaltningens bruk av elektronisk kommunikasjon, sier Ove Skåra.

Programmet for medlemsmøtet ser slik ut:

13:00 Velkommen
13:05 – 13:55 Hvordan følger Datatilsynet opp meldingene virksomhetene sender inn? Til å belyse dette har vi fått med oss fagdirektør og seksjonssjef Camilla Nervik, og fagdirektør og personvernombud Ove Skåra.
13:55 – 14:05 Benstrekk
14:05 – 14:30 Postlistesaken – fra ris til ROS. Ole Henrik Førland, personvernombud i Asker kommune
14:30 – 14:45 Avviksbehandling i finanssektoren. Pål Magne Ånestad, personvernombud i Lindorff AS
14:40 – 15:00 Spørsmål og avslutning

Medlemsmøtet er åpent for alle medlemmer av Foreningen Personvernombudene. Er du ikke medlem ennå? Klikk her for å melde deg inn.

Aktiviteter, Nytt