Nye retningslinjer for melding til Datatilsynet ved brudd på personopplysningssikkerheten

Av Rune Opdahl, partner, Advokatfirmaet Wiersholms avdeling for teknologi, media, telekom og immaterialrett og Håvard Sveier Ottemo, advokatfullmektig, Advokatfirmaet Wiersholms avdeling for teknologi, media, telekom og immaterialrett.

1. Innledning

Datatilsynet mottar stadig flere meldinger om brudd på personopplysningssikkerheten – fra 2225 i 2021 til 3191 i 2024. Økningen skyldes ikke nødvendigvis flere brudd, men like gjerne lavere terskel og større bevissthet. Om lag 80 % av meldingene avsluttes uten videre oppfølging, noe som kan indikere at flertallet av innmeldte brudd er forbundet med liten risiko.

Mengden av meldinger kan være en byrde for Datatilsynet. Dette kan være en av årsakene til at Datatilsynet nylig har revidert sin veileder om «Hvilke brudd skal meldes til Datatilsynet?». I denne artikkelen kommenterer vi den reviderte veilederen.

2. Meldeplikten

Etter GDPR artikkel 33 skal den behandlingsansvarlige melde brudd på personopplysningssikkerheten til Datatilsynet, med mindre det er usannsynlig at bruddet vil medføre risiko for fysiske personers rettigheter og friheter. Altså er vurderingen todelt: Først må det tas stilling til om det foreligger et brudd på personopplysningssikkerheten; dernest må det tas stilling til risiko ved sikkerhetsbruddet.

Manglende oppfyllelse av bestemmelsen kan medføre overtredelsesgebyr. Eksempelvis ila Datatilsynet selskapet Argon Medical Devices overtredelsesgebyr på 2,5 millioner kroner for å ha meldt om et brudd for sent.

Det kan være utfordrende å bedømme hvilke hendelser som utløser meldeplikt, særlig tatt i betraktning tidsfristen på 72 timer. Derfor er en oppdatert veileder fra Datatilsynet kjærkomment – forutsatt at den gir god veiledning.

Det kan være utfordrende å bedømme hvilke hendelser som utløser meldeplikt, [...]. Derfor er en oppdatert veileder fra Datatilsynet kjærkomment – forutsatt at den gir god veiledning.

3. Fjernet oppfordring om melding ved tvil

Datatilsynets tidligere veileder oppfordret til melding ved tvil:

«Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynets for sikkerhets skyld»

Denne oppfordringen er nå fjernet.Datatilsynet har likevel beholdt bemerkningen om at den behandlingsansvarlige må være «tilnærmet helt sikker» på at bruddet ikke vil medføre noen risiko for de berørte før unntaket er oppfylt, som likevel kan resultere i at de behandlingsansvarlige fortsetter å melde selv om hendelsen etter loven ikke er meldepliktig.

4. Fra skal til kan

I den tidligere veilederen opererte Datatilsynet med en oversikt over eksempler på brudd som skal meldes. Dette var villedende, ikke veiledende. Eksempelvis sto det at «Brev eller e-post som inneholder personopplysninger er sendt til feil mottaker» skulle meldes, uten en nyansering om risiko ved feilen (som blant annet avhenger av opplysningenes karakter, kryptering og hvem mottakeren er).

I den nye veilederen har Datatilsynet endret oversikten til brudd som kan meldes. Dessuten er listen supplert med bemerkninger om risiko, eksempelvis: «Forsendelsesfeil som inneholder beskyttelsesverdige personopplysninger og hvor dette kan medføre en risiko for fysiske personers rettigheter og friheter». Også dette blir mer villedende enn veiledende. Når Datatilsynet har lagt til presiseringen om hendelsen kan medføre risiko, er meldeplikten utløst. Altså burde overskriften være brudd som skal meldes, ikke brudd som kan meldes.

Vi merker oss for øvrig at rekkefølgen på eksemplene er omrokert, hvor digitale angrep mot datasystemer er satt først og forsendelsesfeil er satt nederst på listen. Vi antar det skyldes at forsendelsesfeil har utgjort en stor andel av avviksmeldinger (37 % i 2025), mens risikoen ved slike hendelsen ofte er beskjeden. Selv om listen ikke angir en rangordning, kan det være et signal om hva Datatilsynet anser som mer og mindre alvorlig.

5. Behov for ytterligere veiledning

Endringene gjør den oppdaterte veilederen mer i tråd med loven. Bruken av kan istedenfor skal skaper imidlertid forvirring og burde korrigeres.

Det er dessuten enkelte sider ved meldeplikten som Datatilsynets veileder med fordel også kunne adressert:

Veilederen mangler en forklaring av hva som utgjør brudd på personopplysningssikkerheten(selv om Datatilsynets eksempler gir en indikasjon). Brudd på GDPR er ikke enstydig med brudd på personopplysningssikkerheten. For eksempel vil ikke manglende behandlingsgrunnlag eller manglende informasjon til de registrerte i seg selv utgjøre brudd på personopplysningssikkerheten. Det gjelder ikke en selvinkrimineringsplikt etter GDPR.

Videre sier veilederen ingenting om hva som utgjør risiko for fysiske personers rettigheter og friheter og hvordan slik risiko skal vurderes. GDPR fortalepunkt 75 nevner blant annet identitetstyveri, økonomisk tap og sosiale ulemper, men dette fortalepunktet er vanskelig å tolke og har ingen bindende virkning. Det ville vært til hjelp om Datatilsynet ga veiledning om dette.

Ved å motta et stort antall meldinger, har Datatilsynet opparbeidet seg inngående erfaring med brudd på personopplysningssikkerheten. I en fremtidig versjon av veilederen, kan vi håpe at Datatilsynet er enda tydeligere om hvilke hendelser som skal meldes.