En dyr forsinkelse
Datatilsynet har gitt en bot på 2,5 millioner kroner til en amerikansk medisinsk virksomhet etter et brudd på personopplysningssikkerheten. Virksomheten oppdaget et brudd som omfattet alle europeiske medarbeidere, blant annet en norsk medarbeider. På tross av dette ble bruddet først meldt til datatilsynet etter 67 dager. Bruddet omfattet stort sett alle opplysninger om medarbeidernes ansettelse.
En amerikansk medisinsk virksomhet oppdaget ett brudd på personopplysningssikkerheten, etter at det i nesten en måned hadde vært tilgang til den amerikanske «Senior Vice President of Human Resources» sin innboks.
Hackere hadde sannsynligvis fått tilgang til innboksen via en phishing e-post. Dette medførte at det samtidig var tilgang til fortrolige opplysninger om medarbeiderne, slik som navn, tittel, arbeidssted, startdato, ferie, lønn, trygd og personalegoder som pensjon, forsikring og firmabil.
Bruddet omfattet flere medarbeidere i flere land. Virksomheten valgte å melde bruddet til noen datatilsyn, men ikke til det norske. I stedet brukte virksomheten to måneder på å undersøke hvorvidt bruddet var relevant å melde.
72 timer, og ikke et sekund mer
Datatilsynet var ikke i tvil om at det var snakk om et brudd som skulle meldes etter personvernreglene. Overtredelsen av 72-timers fristen medførte en bot på 2,5 millioner kroner. Datatilsynet understrekte at 64 dagers forsinkelse etter 72-timers fristens utløp var en alvorlig overtredelse.
Datatilsynet la blant annet vekt på at virksomheten hadde fulgt utilstrekkelige retningslinjer for brudd på personopplysningssikkerheten. Ifølge retningslinjene skulle nemlig virksomheten selv foreta en intern undersøkelse før det ble søkt om rådgivning hos eksterne advokater i Europa. Prosessen medførte at det praktisk talt var umulig for virksomheten å overholde 72-timers fristen.
Datatilsynet understreket også at opplysninger om lønn og personalegoder var av en særlig sensitiv karakter. Bruddet kunne få stor betydning for de berørte medarbeiderne ettersom opplysningene kunne misbrukes til identitetstyveri og svindel. Avslutningsvis pekte datatilsynet på andre problemstillinger, blant annet at virksomhetens personvernombud også var direktør for den globale IT-avdelingen. Denne stillingen var grunnleggende uforenelig med de kravene som stilles til et personvernombuds uavhengighet.
IUNO mener
Når et personopplysningsbrudd er så alvorlig at det skal meldes, gjelder det en 72-timers frist. For å kunne reagere innenfor den korte fristen skal de interne retningslinjene være på plass. Saken er et godt eksempel på at virksomheter alltid bør overveie om også de interne rutinene, som skal være fastsatt, er mulige å gjennomføre innenfor fristen.
IUNO anbefaler at virksomheter etablerer realistiske rutiner for håndteringen av brudd på personopplysningssikkerheten. Rutinene bør klart fastslå hvem som er ansvarlig for hva gjennom prosessen. Hvis prosessen avhenger av ekstern rådgivning, bør det også være en klar forventningsavstemming om hvordan fristen kan overholdes i forbindelse med dette.
Les mer om hvordan vi kan hjelpe din virksomhet med å sikre compliance her.
[Datatilsynets vedtak av den 8. mars 2023 i sak 21/031126]
En amerikansk medisinsk virksomhet oppdaget ett brudd på personopplysningssikkerheten, etter at det i nesten en måned hadde vært tilgang til den amerikanske «Senior Vice President of Human Resources» sin innboks.
Hackere hadde sannsynligvis fått tilgang til innboksen via en phishing e-post. Dette medførte at det samtidig var tilgang til fortrolige opplysninger om medarbeiderne, slik som navn, tittel, arbeidssted, startdato, ferie, lønn, trygd og personalegoder som pensjon, forsikring og firmabil.
Bruddet omfattet flere medarbeidere i flere land. Virksomheten valgte å melde bruddet til noen datatilsyn, men ikke til det norske. I stedet brukte virksomheten to måneder på å undersøke hvorvidt bruddet var relevant å melde.
72 timer, og ikke et sekund mer
Datatilsynet var ikke i tvil om at det var snakk om et brudd som skulle meldes etter personvernreglene. Overtredelsen av 72-timers fristen medførte en bot på 2,5 millioner kroner. Datatilsynet understrekte at 64 dagers forsinkelse etter 72-timers fristens utløp var en alvorlig overtredelse.
Datatilsynet la blant annet vekt på at virksomheten hadde fulgt utilstrekkelige retningslinjer for brudd på personopplysningssikkerheten. Ifølge retningslinjene skulle nemlig virksomheten selv foreta en intern undersøkelse før det ble søkt om rådgivning hos eksterne advokater i Europa. Prosessen medførte at det praktisk talt var umulig for virksomheten å overholde 72-timers fristen.
Datatilsynet understreket også at opplysninger om lønn og personalegoder var av en særlig sensitiv karakter. Bruddet kunne få stor betydning for de berørte medarbeiderne ettersom opplysningene kunne misbrukes til identitetstyveri og svindel. Avslutningsvis pekte datatilsynet på andre problemstillinger, blant annet at virksomhetens personvernombud også var direktør for den globale IT-avdelingen. Denne stillingen var grunnleggende uforenelig med de kravene som stilles til et personvernombuds uavhengighet.
IUNO mener
Når et personopplysningsbrudd er så alvorlig at det skal meldes, gjelder det en 72-timers frist. For å kunne reagere innenfor den korte fristen skal de interne retningslinjene være på plass. Saken er et godt eksempel på at virksomheter alltid bør overveie om også de interne rutinene, som skal være fastsatt, er mulige å gjennomføre innenfor fristen.
IUNO anbefaler at virksomheter etablerer realistiske rutiner for håndteringen av brudd på personopplysningssikkerheten. Rutinene bør klart fastslå hvem som er ansvarlig for hva gjennom prosessen. Hvis prosessen avhenger av ekstern rådgivning, bør det også være en klar forventningsavstemming om hvordan fristen kan overholdes i forbindelse med dette.
Les mer om hvordan vi kan hjelpe din virksomhet med å sikre compliance her.
[Datatilsynets vedtak av den 8. mars 2023 i sak 21/031126]