SIKKERHET

Når en virksomhet har hatt et datainnbrudd, har den ikke da allerede fått sin straff?

Derfor straffer Datatilsynet virksomheter som har blitt hacket.

Veronica Jarnskjold Buer er avdelingsdirektør for teknologi i Datatilsynet
Veronica Jarnskjold Buer er avdelingsdirektør for teknologi i Datatilsynet Foto: Ilja C. Hendel
Veronica Jarnskjold Buer, avdelingsdirektør for teknologi i Datatilsynet
16. mars 2022 - 16:49

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Når en virksomhet har hatt et datainnbrudd eller blitt hacket, har den ikke da allerede fått sin straff? På mange måter er svaret ja. Det er et krevende arbeid for en virksomhet og for de ansatte når man blir utsatt for et angrep. Først må virksomheten finne ut hva som er skjedd, hvordan det skjedde og hva som var angriperens metode. Har trusselaktøren fremdeles fotfeste inne i virksomheten? Var det et målrettet angrep? Hva fikk trusselaktøren tak i av verdier? Samtidig ønsker man seg tilbake til normal drift så fort som mulig. Det er kaotisk når en virksomhet blir truffet av et dataangrep.

Datatilsynet ser på den som er ansvarlig for personopplysningene

Når alvorlige angrep oppstår, blir ofte politiet, politiets sikkerhetstjeneste (PST), etterretningstjenestene og/eller Nasjonal sikkerhetsmyndighet (NSM) tilkalt for å bistå til oppklaring og eventuelt starte sin etterforskning. Politi, e-tjenesten og PST har ansvaret for å etterforske trusselaktøren, som har angrepet virksomheten. I denne arbeidet har ikke Datatilsynet en aktiv rolle, men blir en rådgiver for virksomheten, dersom personopplysninger er involvert.

I vårt arbeid fokuserer ikke Datatilsynet trusselaktøren, verken om den er en vinningskriminell, statlig aktør, innsider, internt ansatt, aktivist eller hacktivist, sabotør eller annet.

Etter vår mening er det oss som borgere det er synd på, fordi de som skulle beskytte våre personopplysninger ikke gjorde det.

Vår oppgave er å se på den som er ansvarlig for personopplysningene. Vi undersøker for eksempel hvor godt den ansvarlige har sikret dine og mine personopplysninger mot ulike sårbarheter forut for og i etterkant av hendelsen, uansett trusselaktør.

Vår fokus er borgernes perspektiv, om du er skoleelev, ansatt, innsatt, publikum, pasient, medlem i en forening, familiefar eller nabo. Hvordan har virksomheten som forvalter våre personopplysninger ivaretatt sitt ansvar og forpliktelser? Hvordan var sikkerhetstilstanden rundt personopplysningene hos virksomheten når angrepet oppstod? Var det etablert et styringssystem for personvern og informasjonssikkerhet, der ledelsen hadde gitt føringer og vist tydelig ansvar? Hadde virksomheten identifisert hvilke personopplysninger de forvalter? Hadde de identifisert hvilke trusler som de kunne bli utsatt for, avdekket hvor sårbar virksomheten og iverksatt tiltak som skulle redusere sårbarheten? Hadde virksomheten utarbeidet beredskapsplaner? Var det etablert et system for hendelseshåndtering i virksomheten? Særlig kategorier personopplysninger og personopplysninger relatert til sårbare grupper krever større beskyttelsesvern enn vanlige personopplysninger.

I Datatilsynets oppfølging av brudd på personopplysningssikkerheten vurderer vi iverksatte tiltak og hvor effektive disse tiltakene er.

Få gebyrsaker, men alvorlige

I de mest alvorlige sakene, kan det være aktuelt å ilegge overtredelsesgebyr. Rammene for Datatilsynets myndighet følger av personvernforordningen, som sier at overtredelsesgebyrer skal vurderes for hvert enkelt tilfelle, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende.

I fjor fikk Datatilsynet fikk inn mer enn 2200 avvik, men vi gav bare gebyr i 9 avviksaker, det vil si under 0,5 %. Det betyr at når Datatilsynet faktisk ilegger gebyr så er saken av en slik karakter at den skiller seg ut. Gebyrsakene kjennetegnes av at det har stått dårlig til med sikkerheten i den virksomheten som forvalter mine og dine personopplysninger når sikkerhetshendelsen inntraff, uansett angriper eller årsak til hendelsen.

Enkelte hevder at virksomheter som utsettes for hackerangrep, ikke bør ilegges gebyr, og at de allerede har fått sin straff. Datatilsynets gebyr legger bare en ekstra byrde til virksomheter det allerede er synd på. Datatilsynet har stor sympati for vanskelighetene slike angrep skaper for de som blir rammet. Vi mener likevel at våre gebyrer er virkningsfulle og virker preventivt og opplærende for andre som er i tilsvarende risikosituasjon.

Vi ønsker debatten velkommen, den resulterer i ytterligere spredning av viktigheten av å sikre personopplysninger på en skikkelig måte – og samtidig styrke vår vurdering av virkningen av våre vedtak om gebyrer i de mest alvorlige sakene.

Etter vår mening er det oss som borgere det er synd på, fordi de som skulle beskytte våre personopplysninger ikke gjorde det.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.