Personopplysninger på avveie – hva skal du gjøre?

Etter at GDPR ble innført i 2018 har det vært stort fokus på personvern, og kravene til hvordan helsevirksomheter skal behandle og sikre personopplysninger er strenge. Men, uansett hvor godt man sikrer og hvilke forholdsregler man tar kan uhell skje.
Og hva skal du egentlig gjøre ved sikkerhetsbrudd hvor personopplysninger kan ha kommet på avveie?

Som hovedregel skal helsevirksomheter varsle Datatilsynet innen 72 timer ved sikkerhetsbrudd som involverer personopplysninger. I noen tilfeller har du også plikt til å informere pasienter som er berørt av sikkerhetsbruddet.

Et sikkerhetsbrudd kan være en hendelse som medfører at personopplysninger kommer på avveie.

Hva er et sikkerhetsbrudd?

Ifølge GDPR artikkel 4 nr. 12 defineres et sikkerhetsbrudd (dvs. «brudd på personopplysningssikkerheten») som:

«…brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Et sikkerhetsbrudd er altså ikke kun når personopplysninger er kommet på avveie, men også tilfeller hvor opplysninger kan ha blitt forandret (integritet) eller ikke lenger er tilgjengelige for autorisert personell når de behøver dem.

Ifølge Datatilsynet ble det i perioden januar-september 2019 sendt inn 1.401 avviksmeldinger om brudd på personopplysningssikkerheten. Av disse kom 126 (ca. 9%) fra helsesektoren. De vanligste typene avvik var:

De fleste sikkerhetsbrudd skyldes menneskelige feil.

Menneskelige feil viktigste årsak

Ifølge opplysningene fra Datatilsynet skjer 81% av sikkerhetsavvikene som følge av feil eller uhell begått av ansatte – dvs. menneskelige feil. Kun 6% av avvikene skyldes såkalte tilsiktede feil, som hacker- eller phishing-angrep utført av eksterne angripere.

Dette viser hvor viktig det er å arbeide med gode interne rutiner og ha fokus på personvern og sikkerhet internt i virksomheten.

Hva skal du gjøre ved et sikkerhetsbrudd?

Hvis dere opplever et sikkerhetsbrudd skal dere registrere dette som et avvik. For TrinnVis-brukere kan dette gjøres direkte i kvalitetssystemet. Ved å legge inn informasjon om hva som har skjedd og hvilken typer opplysninger som er berørt vil systemet fortelle deg hvilke tiltak som er nødvendige med tanke på rapportering til Datatilsynet og eventuelt berørte parter. I Trinnvis finnes det også lenker til de skjema som skal brukes ved rapportering.

Instruksjonene i TrinnVis bygger på GDPR artikkel 33 som sier at sikkerhetsbrudd skal meldes til Datatilsynet innen 72 timer hvis:

  1. Sikkerhetsbruddet omfatter personopplysninger
    Et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sikkerhetsbruddet må omfatte personopplysninger for at sikkerhetsbruddet skal utløse varslingsplikt. 
  2. Sikkerhetsbruddet innebærer personvernrisiko
    Sikkerhetsbruddet må medføre moderat eller høy risiko for pasientenes rettigheter eller friheter for å utløse varslingsplikt til Datatilsynet. Dette betyr at det gjøres unntak fra varslingsplikten dersom helsevirksomheten vurderer at sikkerhetsbruddet har lav personvernrisiko.
En risikovurdering er viktig for å finne ut om og eventuelt hvem som skal varsles ved et sikkerhetsbrudd.

Risikovurdering

For å vurdere om og hvem det er nødvendig å varsle skal det gjøres en risikovurdering. Også denne kan gjøres med de verktøy som er tilgjengelig i TrinnVis, og du vil da dokumentere at vurderingen er gjort – og på hvilket grunnlag den er gjort.
Ved hjelp av riskovurderingen skal du vurdere hvilke konsekvenser sikkerhetsbruddet kan få for pasientene, og sannsynligheten for at disse konsekvensene inntreffer.

Konsekvensene for pasientene kan være fysiske, materielle eller ikke-materielle som:

Det er også viktig å se på omstendighetene rundt sikkerhetsbruddet når personvernrisikoen skal vurderes, for eksempel:

Resultatet av risikovurderingen er avgjørende for om det skal varsles og hvem som eventuelt skal varsles om sikkerhetsbruddet:

Selv om du kommer frem til at det ikke er nødvendig å varsle Datatilsynet eller pasientene – dvs. at det foreligger lav personvernrisiko – er det viktig å dokumentere de vurderinger som er gjort. Avviket skal også behandles i samsvar med virksomhetens interne rutiner for avviksbehandling.

Når man skal informere Datatilsynet om et sikkerhetsbrudd er det viktig å gi relevant informasjon om når, hvor og hvordan bruddet oppstod – og hvilken konsekvenser det kan ha for berørte parter.

Hva skal en melding til pasienter inneholde?

Hvis du kommer fram til at det foreligger høy personvernrisiko skal berørte pasienter som hovedregel varsles omgående (uten ugrunnet opphold). Dette bør gjøres ved å ta kontakt direkte med de berørte og ikke via nyhetsbrev eller lignende. Dette er svært viktig da varselet skal gi de berørte pasientene mulighet til å ta nødvendige forhåndsregler og iverksette tiltak som måtte være nødvendige for å ivareta egne rettigheter og interesser. I meldingen til pasientene må du gi en klar og tydelig beskrivelse av:

Det skal også opplyses om navn og kontaktopplysninger til personvernombudet eller annen person i virksomheten som kan gi mer informasjon om sikkerhetsbruddet.

Hva skjer hvis du ikke varsler…?

Hvis Datatilsynet oppdager at du ikke har sendt inn varsel om brudd på personopplysningssikkerheten når du etter kravene skulle ha gjort dette, kan Datatilsynet ilegge gebyr på inntil 10 millioner Euro eller 2% av virksomhetens årsomsetning.

Les mer om TrinnVis:

TrinnVis – kvalitetsarbeid satt i prakis
Tre trinn til TrinnVis

Nyttige eksterne lenker:

Er du er usikker på om det er nødvendig å varsle om et sikkerhetsbrudd?
Kontakt Datatilsynet

Er du ikke TrinnVis-bruker og skal varsle et sikkerhetsbrudd/-avvik:
Skjema for varsling

Mer informasjon om behandling og varsling av avvik – med eksempler på ulike kategorier av sikkerhetsbrudd knyttet til konfidensialitet, integritet og tilgjengelighet:
Normens faktaark 08 om avviksbehandling
Datatilsynets veileder om avvikshåndtering

Spør meg!