Personopplysninger på avveie – hva skal du gjøre?

Etter at GDPR ble innført i 2018 har det vært stort fokus på personvern, og kravene til hvordan helsevirksomheter skal behandle og sikre personopplysninger er strenge. Men, uansett hvor godt man sikrer og hvilke forholdsregler man tar kan uhell skje.
Og hva skal du egentlig gjøre ved sikkerhetsbrudd hvor personopplysninger kan ha kommet på avveie?

Som hovedregel skal helsevirksomheter varsle Datatilsynet innen 72 timer ved sikkerhetsbrudd som involverer personopplysninger. I noen tilfeller har du også plikt til å informere pasienter som er berørt av sikkerhetsbruddet.

Hva er et sikkerhetsbrudd?

Ifølge GDPR artikkel 4 nr. 12 defineres et sikkerhetsbrudd (dvs. «brudd på personopplysningssikkerheten») som:

«…brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».

Et sikkerhetsbrudd er altså ikke kun når personopplysninger er kommet på avveie, men også tilfeller hvor opplysninger kan ha blitt forandret (integritet) eller ikke lenger er tilgjengelige for autorisert personell når de behøver dem.

Ifølge Datatilsynet ble det i perioden januar-september 2019 sendt inn 1.401 avviksmeldinger om brudd på personopplysningssikkerheten. Av disse kom 126 (ca. 9%) fra helsesektoren. De vanligste typene avvik var:

• Sending av post/epost til feil mottaker eller feil vedlegg i post/epost
• Mangler eller feil i tilgangsstyringen
• Utilsiktet publisering av personopplysninger
• Hacking (datainnbrudd)
• Phishing (når uvedkomne leter etter sensitiv informasjon i systemer)
• Papirdokumenter som er gått tapt, blitt stjålet eller etterlatt
• Epost/brev som har gått tapt eller blitt åpnet av feil person
• Muntlig utlevering av personopplysninger som ikke skulle ha skjedd
• Tapt eller stjålet enhet (smarttelefon, datamaskin, back-up harddisk etc)
• E-avfall (personopplysninger lagret på gamle enheter som kastes)
• Feilaktig avhending eller makulering av papirdokumenter
• Datavirus/malware/skadelig kode (f.eks. programmer som låser datamaskin, og hvor man må betale for at den skal låses opp igjen)

Menneskelige feil viktigste årsak

Ifølge opplysningene fra Datatilsynet skjer 81% av sikkerhetsavvikene som følge av feil eller uhell begått av ansatte – dvs. menneskelige feil. Kun 6% av avvikene skyldes såkalte tilsiktede feil, som hacker- eller phishing-angrep utført av eksterne angripere.

Dette viser hvor viktig det er å arbeide med gode interne rutiner og ha fokus på personvern og sikkerhet internt i virksomheten.

Hva skal du gjøre ved et sikkerhetsbrudd?

Hvis dere opplever et sikkerhetsbrudd skal dere registrere dette som et avvik. For TrinnVis-brukere kan dette gjøres direkte i kvalitetssystemet. Ved å legge inn informasjon om hva som har skjedd og hvilken typer opplysninger som er berørt vil systemet fortelle deg hvilke tiltak som er nødvendige med tanke på rapportering til Datatilsynet og eventuelt berørte parter. I Trinnvis finnes det også lenker til de skjema som skal brukes ved rapportering.

Instruksjonene i TrinnVis bygger på GDPR artikkel 33 som sier at sikkerhetsbrudd skal meldes til Datatilsynet innen 72 timer hvis:

1. Sikkerhetsbruddet omfatter personopplysninger
   Et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sikkerhetsbruddet må omfatte personopplysninger for at sikkerhetsbruddet skal utløse varslingsplikt. 
2. Sikkerhetsbruddet innebærer personvernrisiko
   Sikkerhetsbruddet må medføre moderat eller høy risiko for pasientenes rettigheter eller friheter for å utløse varslingsplikt til Datatilsynet. Dette betyr at det gjøres unntak fra varslingsplikten dersom helsevirksomheten vurderer at sikkerhetsbruddet har lav personvernrisiko.

Risikovurdering

For å vurdere om og hvem det er nødvendig å varsle skal det gjøres en risikovurdering. Også denne kan gjøres med de verktøy som er tilgjengelig i TrinnVis, og du vil da dokumentere at vurderingen er gjort – og på hvilket grunnlag den er gjort.
Ved hjelp av riskovurderingen skal du vurdere hvilke konsekvenser sikkerhetsbruddet kan få for pasientene, og sannsynligheten for at disse konsekvensene inntreffer.

Konsekvensene for pasientene kan være fysiske, materielle eller ikke-materielle som:

• Tap av kontroll over egne helseopplysninger
• Forskjellsbehandling
• Skade på pasientens omdømme
• Identitetstyveri eller -bedrageri
• Økonomiske tap
• Tap av fortrolighet for taushetsbelagte personopplysninger
• Andre betydelige økonomiske eller sosiale ulemper

Det er også viktig å se på omstendighetene rundt sikkerhetsbruddet når personvernrisikoen skal vurderes, for eksempel:

• Hva slags type sikkerhetsbrudd har skjedd?
  F.eks. tyveri, hacking, snoking, tap av papirdokumenter, brudd på interne rutiner etc.
• Har det skjedd et brudd på konfidensialitet, integritet eller tilgjengelighet?
• Medfører sikkerhetsbruddet brudd på andre bestemmelser i GDPR?
• Hvilken typer personopplysninger er berørt av bruddet?
• Hvor lett er det å identifisere pasientene ut fra opplysningene som er kommet på avveie?
  (Er opplysningene kryptert, og har virksomheten i så fall kontroll på krypteringsnøkkelen?)
• Berører sikkerhetsbruddet sårbare grupper – som barn, psykisk syke, rusavhengige eller andre utsatte grupper som bruddet kan ha spesielt store konsekvenser for?
• Hvor mange pasienter er berørt av sikkerhetsbruddet – en, få eller mange?

Resultatet av risikovurderingen er avgjørende for om det skal varsles og hvem som eventuelt skal varsles om sikkerhetsbruddet:

• Ingen eller lav risiko: Ingen varsling er påkrevd
• Middels risiko: Datatilsynet skal varsles
• Høy risiko: Datatilsynet og pasientene skal varsles

Selv om du kommer frem til at det ikke er nødvendig å varsle Datatilsynet eller pasientene – dvs. at det foreligger lav personvernrisiko – er det viktig å dokumentere de vurderinger som er gjort. Avviket skal også behandles i samsvar med virksomhetens interne rutiner for avviksbehandling.

Hva skal en melding til pasienter inneholde?

Hvis du kommer fram til at det foreligger høy personvernrisiko skal berørte pasienter som hovedregel varsles omgående (uten ugrunnet opphold). Dette bør gjøres ved å ta kontakt direkte med de berørte og ikke via nyhetsbrev eller lignende. Dette er svært viktig da varselet skal gi de berørte pasientene mulighet til å ta nødvendige forhåndsregler og iverksette tiltak som måtte være nødvendige for å ivareta egne rettigheter og interesser. I meldingen til pasientene må du gi en klar og tydelig beskrivelse av:

• Hva som har skjedd og hva slags type sikkerhetsbrudd det er snakk om
• Hvilke konsekvenser sikkerhetsbruddet kan ha for pasientene (f.eks. identitetstyveri, svindel etc.)
• Hvilke tiltak helsevirksomheten har iverksatt for å håndtere sikkerhetsbruddet og redusere eventuelle skadevirkninger det måtte ha for pasienten

Det skal også opplyses om navn og kontaktopplysninger til personvernombudet eller annen person i virksomheten som kan gi mer informasjon om sikkerhetsbruddet.

Hva skjer hvis du ikke varsler…?

Hvis Datatilsynet oppdager at du ikke har sendt inn varsel om brudd på personopplysningssikkerheten når du etter kravene skulle ha gjort dette, kan Datatilsynet ilegge gebyr på inntil 10 millioner Euro eller 2% av virksomhetens årsomsetning.

Les mer om TrinnVis:

TrinnVis – kvalitetsarbeid satt i prakis
Tre trinn til TrinnVis

Nyttige eksterne lenker:

Er du er usikker på om det er nødvendig å varsle om et sikkerhetsbrudd?
Kontakt Datatilsynet

Er du ikke TrinnVis-bruker og skal varsle et sikkerhetsbrudd/-avvik:
Skjema for varsling

Mer informasjon om behandling og varsling av avvik – med eksempler på ulike kategorier av sikkerhetsbrudd knyttet til konfidensialitet, integritet og tilgjengelighet:
Normens faktaark 08 om avviksbehandling
Datatilsynets veileder om avvikshåndtering