Det har vært en stor økning i antall avviksmeldinger til Datatilsynet. I løpet av 2019 var det registrert opp mot 2000 avviksmeldinger, sier Atle Årnes, fagdirektør teknologi i Datatilsynet til NETT NO.

Han opplyser at fire av fem avvik skyldes menneskelig svikt.

- Mange avvik er interne og utilsiktede avvik som viser manglende rutiner, manglende kunnskap, uhell eller teknisk svikt. Det betyr at relativt enkle grep kan ha stor effekt, slik som innføring av tofaktorautentisering, gode sikkerhetskopirutiner og jevnlig programvareoppdatering.

Finansbransjen verst
Årnes sier at få meldte avvik skyldes kriminalitet som hacking og phishing.

- Av de forskjellige bransjene vi får avvik fra er det spesielt Finansbransjen som leverer flest avvik.

Flere bedrifter i nordvest har vært utsatt for hacking.

Personopplysninger
Blant anna gjelder det Herøy-bedrifta Westplast der inntrengere overtok datasystemet med påfølgende bitcoin-krav for å åpne opp igjen.

Les her: - Fleire bør snakke om dataangrep

Atle Årnes sier at i hacking-saker er så å si alltid personopplysninger involvert.

- Dermed kommer regelverket for håndtering av personopplysninger i spill. Når det skjer slike avvik (brudd på personopplysningssikkerheten) så er virksomheten pliktig til å ta seg av disse på en korrekt måte. Hvordan virksomheten skal håndtere avviket står beskrevet i personvernforordningen (GDPR) artikkel 33 og 34.

Frist på 72 timer
Han sier at dette betyr at virksomheten skal uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til Datatilsynet med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.

- Hva meldingen om bruddet skal inneholde av opplysninger kommer også frem i personvernforordningen. Blant annet skal virksomheten dokumentere hva som er blitt gjort for at ikke avviket skal oppstå igjen.

- Virksomheten må også gi beskjed om det aktuelle avviket til berørte personer. Dersom det er sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige uten ugrunnet opphold underrette den registrerte om bruddet.

Langt høyere gebyr
Atle Årnes sier at virksomheten har en egeninteresse i å beskytte sine verdier, om det er penger, maskiner eller konstruksjonstegninger.

- Beskyttelsesbehovet gjelder selvfølgelig også personopplysninger virksomheten er i besittelse av og håndterer. Personvernforordningen setter klare og strengere krav til hvordan virksomheter skal behandle personopplysninger.

- Om virksomheten ikke tilfredsstiller kravene vil et helt nytt og betydelig høyere nivå på overtredelsesgebyrene kunne være en vekker. Et overtredelsesgebyr kan også være aktuelt dersom virksomheten ikke melder avviket til Datatilsynet innen fristen på 72 timer.

- De høye overtredelsesgebyrene som er blitt aktuelle de siste to årene, er satt for å styrke håndhevingen av bestemmelsene i personvernforordningen.

Les også:

Datakriminalitet: - Altfor mange står ikke fram

Datakriminalitet: - Det handler om mennesker, teknologi og gode prosesser

Flere angrepet ved hjemmekontor