SLIK GIKK DET GALT I ÅRET SOM GIKK

Rapport om avviksmeldinger til Datatilsynet

2

Sammendrag

Personvernregelverket krever at virksomheter melder fra

til Datatilsynet når beskyttelsesverdige

personopplysninger har kommet på avveier. Dette kaller vi

avviksmeldinger til Datatilsynet. Vi har kartlagt innholdet

i avviksmeldinger fra 2014. Rapportens mål er å formidle

hva som skjedde i disse avvikene, primært gjennom tall og

kategorier.

At Datatilsynet kun har 116 avvikssaker fra 2014 stadfester

at det finnes store mørketall. Vi må derfor være ytterst

forsiktige med å trekke enkelte typer slutninger basert på

mottatte meldinger.

Datatilsynet mottar noe flere avviksmeldinger fra privat

enn offentlig sektor. Flest meldinger kommer fra

forsikring, bank og finans. Fra offentlig sektor mottar

Datatilsynet flest avviksmeldinger fra helse og omsorg og

kommunal sektor.

Den desidert største kategorien avvik handler om

forsendelser, for eksempel at et brev sendes til feil person

eller at et e-postvedlegg hadde mer informasjon enn

avsender tenkte. Andre store avvikskategorier er

hacking/datainnbrudd, snoking og at tilgangsstyringen

feilet eller var mangelfull.

Årsaken til avviket var oftest intern. Det handler om egne

ansatte, egne IT-systemer eller rutiner. Det er mer sjeldent

at avviket var forårsaket av eksterne, som ved hacking eller

innbrudd.

Snaue tre av ti saker handler om opplysninger på avveier i

analog form. I litt færre tilfeller var e-post den sentrale

teknologien i avviket. Laptop-er og minnepinner står

sentralt i enkelte avvik, men tallet er lavt i forhold til andre

lagrings- eller kommunikasjonsmedier. I snaue tre av ti

tilfeller var personopplysningene lagret på virksomhetens

servere da de kom på avveier. At personopplysninger kom

på avveier på grunn av internettpublisering finner vi en

del eksempler på, men tallet er mye lavere enn

eksempelvis avvik knyttet til e-post.

Det er flest avvikssaker hvor personopplysningene havnet

hos en privatperson. Den nest største gruppen havner hos

en virksomhet. I en snau fjerdedel av sakene er det ikke er

klart hvem personopplysningen havnet hos. I en av ti

saker havnet personopplysningene hos en eller flere av

virksomhetens egne ansatte, som ikke skulle hatt

opplysningene.

De fleste avvik fører til utlevering av personopplysninger

om et lite antall personer, i mange tilfeller kun én person.

Antallet personer som fikk opplysningene i hende er også

vanligvis lavt. Imidlertid er personopplysningene oftest

følsomme eller per definisjon sensitive. I litt mer enn

halvparten av sakene var fødselsnummer involvert.

3

Innhold Sammendrag ............................................................................. 2

Om rapporten ........................................................................... 4

Avviksmeldinger til Datatilsynet og hva vi kan

lære av dem .......................................................................... 4

Målet med rapporten ........................................................ 4

Store mørketall ................................................................... 4

Vi er prisgitt de som lager informasjon om oss ..... 4

Om metode og tallgrunnlaget bak rapporten .............. 6

Kartleggingen ....................................................................... 6

Dataene brukt i rapporten .............................................. 6

Usikkerhet om enkeltdetaljer ....................................... 6

Forsiktighet med allmenngyldige konklusjoner ... 6

Hvem melder avvik til Datatilsynet? ............................... 8

Sektor ...................................................................................... 8

Bransjer som ofte melder avvik ................................... 8

Alle bransjer ......................................................................... 9

Hos den ansvarlige virksomheten eller hos

databehandleren? .............................................................. 9

Hvem informerer Datatilsynet? ................................ 10

Slik gikk det galt ................................................................... 11

Hacking eller datainnbrudd ................................... 11

Snoking ........................................................................... 11

Tilgangsstyring feilet, mangelfull eller

manglet ........................................................................... 11

Internettpublisering .................................................. 11

Personopplysninger bevisst utlevert ................. 12

Fysisk innbrudd - digitale eller analoge data

forsvunnet ..................................................................... 12

Avhending uten sletting/makulering ................. 12

Mistet/gjenglemt/forlagt ........................................ 12

Andre avvik ................................................................... 12

Forsendelsesfeil ........................................................... 12

Oftere interne glipper og feil enn innbrudd og

hacking ................................................................................. 14

Hvor var personopplysningene lagret da de kom

på avveier?.......................................................................... 14

Antall berørte, spredning og

konfidensialitetsbehov ....................................................... 16

Berørte og mottakere ..................................................... 16

Avvikssakene handler oftest om følsomme

opplysninger ...................................................................... 17

4

Om rapporten

Avviksmeldinger til Datatilsynet og hva vi kan lære av dem Hver dag skjer informasjonssikkerhetsavvik i norske

virksomheter. Det kan eksempelvis dreie seg om

datainnbrudd, snoking, at viktige opplysninger går tapt

eller at følsomme opplysninger sendes til gal person.

Avvikene kan være små eller store, de kan være lite

alvorlige eller svært kritiske. Ingen myndighet har full

oversikt over hvor mange eller hvilke feil som skjer.

Personvernregelverket setter imidlertid et krav om å

melde fra til Datatilsynet om informasjonssikkerhetsavvik

som fyller visse kriterier. Virksomheten må da sende en

såkalt avviksmelding til Datatilsynet hvor det beskrives

hva som skjedde. Med basis i avviksmeldingen kan det

lages statistikk, og det er disse

informasjonssikkerhetsavvikene denne rapporten handler

om.

Ordet informasjonssikkerhet omfatter mye mer enn vern

av personopplysninger. Det handler også om vern av

forretningshemmeligheter, informasjon av betydning for

rikets sikkerhet eller opplysninger som kan lette

gjennomføring av kriminelle handlinger. Plikten til å

sende avviksmelding til Datatilsynet er altså en svært

begrenset plikt i forhold til det totale spekteret av

informasjonssikkerhetsavvik. Dette er viktig å merke seg

for å forstå hva rapporten belyser og hva den ikke belyser.

For det første er plikten avgrenset til

informasjonssikkerhetsavvik med betydning for

personvernet. Plikten avgrenses ytterligere av at avviket

må ha medført at personopplysninger har kommet på

avveier, samt at opplysningene må kunne forstås som

beskyttelsesverdige. Bestemmelsens ordlyd1 bruker

ordene «uautorisert utlevering» og «personopplysninger

hvor konfidensialitet er nødvendig». Med utlevering

forstås det her at opplysningene må ha kommet ut av den

ansvarlige virksomhetens kontroll, altså at data er, eller

kan ha blitt, eksponert for uvedkommende, eller er

kommet uvedkommende i hende.

Det ligger flere hensyn bak meldeplikten. Datatilsynet

informeres om sikkerhetsbrister av betydning. Videre gir

informasjonen Datatilsynet mulighet til å forvisse seg om

at ansvarlig virksomhet har iverksatt tilstrekkelige

korrigerende tiltak. Ved behov kan Datatilsynet følge

avvikssaken ytterligere opp. Plikten har også betydning for

1 Plikten til å sende avviksmelding reguleres i personopplysningsforskriftens § 2-6 tredje ledd:

virksomhetene, fordi den medvirker til at disse på

selvstendig grunnlag følger opp avviket.

Avvikssakene har ikke kun verdi etter at noe har skjedd.

Gjennom meldingene får Datatilsynet mulighet til danne

seg oversikt over spesielle problemområder eller utsatte

bransjer. Sakene gir oss et erfaringsgrunnlag om

problemområder, om ulike typer risiko og om hva som

ofte går galt. Den samme informasjonen er nyttig for

virksomhetene, som må ta stilling til hva de må verne seg

mot og hvor det er særlig viktig å ha gode rutiner.

Avviksmeldingene viser oss et bredt spekter av ting som

kan gå galt og er således verdifullt for virksomhetens

arbeid med risikovurderinger.

Målet med rapporten Målet med denne rapporten er å gjøre tilgjengelig

informasjon om informasjonssikkerhetsavvik med

utgangspunkt i avviksmeldinger som Datatilsynet har

mottatt. Dette fremstilles primært på et overordnet nivå

gjennom tall og kategorier. Fokus rettes mot selve

avvikene – altså hva som gikk galt, forholdene rundt

avviket og hvilke aktører avvikene skjedde hos.

(Virksomhetens og Datatilsynets oppfølging i etterkant er

ikke tema for denne rapporten).

Av ressursmessige hensyn har vi begrenset

informasjonsmengden til avvikssaker opprettet i løpet av

2014. Med unntak av noen få, er saksbehandlingen av

disse sakene nå avsluttet.

Store mørketall Datatilsynet opprettet 116 avvikssaker i 2014. Det er

åpenbart noe rart med tallet: Var det virkelig ikke flere

tilfeller i 2014 hvor beskyttelsesverdige

personopplysninger havnet hos uvedkommende? Jo, det

kan vi føle oss helt trygge på at det var. Vi har all grunn til

å tro at mottatte avviksmeldinger kun representerer en

liten andel av hva som burde vært meldt. Av den grunn må

vi være ytterst forsiktige med å trekke enkelte typer

slutninger med basis i mottatte meldinger. Dette vil vi

komme tilbake til i neste kapittel.

Vi er prisgitt de som lagrer informasjon om oss Avviksmeldingen minner oss både om en stående

utfordring, så vel som en stående omkostning ved å

behandle personopplysninger: Det er ingenting som er

helt sikkert. Feil vil skje.

«Dersom avviket har medført uautorisert utlevering av personopplysninger der konfidensialitet er nødvendig, skal Datatilsynet varsles.»

5

Personvernet handler i stor grad om det enkelte

menneskets rett og mulighet til å råde over egne

personopplysninger. Avviksmeldingene viser oss en bister

realitet i relasjon til selvråderetten: Det er fint lite det

enkelte mennesket kan gjøre for å sikre seg mot at

virksomheter mister kontroll over deres opplysninger. Vi

er alle prisgitt de som har opplysninger om oss, deres evne

til å unngå avvik, og deres evne til å oppdage de feil som

skjer, og å lære av dem.

6

Om metode og tallgrunnlaget bak rapporten

Kartleggingen Objektet for denne rapporten er

informasjonssikkerhetsavvik beskrevet i meldinger til

Datatilsynet. Datatilsynet etablerte 116 avvikssaker i 2014.

Avvikssakene har en egen kode i vårt arkivsystem.

Vi har kartlagt avvikssakene med utgangspunkt i en rekke

fastlagte spørsmål med faste svaralternativer.

Spørsmålene er tilpasset meldepliktige

informasjonssikkerhetsavvik, hvor det sentrale kriteriet er

at personopplysninger må ha kommet på avveier.

Spørsmålene handler altså om hvordan opplysningen kom

på avveier og en rekke forhold rundt hendelsen, som

eksempelvis antall berørte, involverte bedrifter osv.

Svarene er satt inn i tabell. Hver sak har sin linje i

tabellen. Svar på hvert kartleggingsspørsmål følger utover

på linjen.

Dataene brukt i rapporten Datagrunnlaget for rapporten er ikke er helt

sammenfallende med avvikssaker fra 2014 i vårt

arkivsystem. Kartleggingen er sentrert om utleveringen

som skjedde, og for at datagrunnlaget skulle fungere,

måtte vi trekke noen saker ut og dele opp andre saker:

Vi har fjernet omtrent ti saker. I nesten alle disse

sakene har avviket ikke har medført uautorisert

utlevering av personopplysninger. Flesteparten av

kartleggingsspørsmålene blir da umulige å

besvare eller fremstår som meningsløse. (Det har

i disse sakene oftest skjedd et annet avvik som er

relevant å informere Datatilsynet om,

eksempelvis langvarig brudd på slettefrister.)

De aller fleste avvikssaker omhandler ett avvik/en

hendelse. For disse er kartleggingen enkel: En sak

betyr en linje i datatabellen. Verre er det med de

få sakene hvor det meldes om flere avvik

samtidig. Dette kan dreie seg om vidt forskjellige

avvik som oppsto i løpet av en lengre periode.

Avvikene kunne like godt vært sendt enkeltvis,

men virksomheten har valgt å sende inn avvikene

samlet. Både av hensyn til å få mest mulig

relevante data, og for i det hele tatt å kunne

besvare kartleggingsspørsmålene, har det vært

nødvendig å dele disse sakene opp i enkeltavvik,

eventuelt grupper av avvik med samme

karakteristika. Hvert enkeltavvik (eventuelt hver

gruppe av avvik) er her gitt hver sin linje i

tabellen, og behandles slik sett på samme måte

som om det var ett enkelt avvik registrert på ett

saksnummer. Vi nevner her at ordene avvikssak

eller sak brukes i rapporten uavhengig av om det

er snakk om ett avvik med ett saksnummer eller

en utskilt avvikshendelse i en sak om mange

avvik.

Etter at noen saker er fjernet og noen saker er delt opp,

består datagrunnlaget av 120 avvikssaker – et tall som er

temmelig likt antallet saker i vårt arkiv. Datagrunnlaget er

da avgrenset til saker som er meldepliktige etter

regelverket, samt avvikssaker hvor formell meldeplikt

kanskje er usikker, men hvor det likevel har skjedd et

informasjonssikkerhetsavvik hvor personopplysninger

(muligens) er kommet på avveier.

Usikkerhet om enkeltdetaljer En del avvikssaker mangler klare tall eller fullstendige

beskrivelser av elementer vi har søkt å kartlegge,

eksempelvis hvor mange som ble berørt, eller den fulle

bredden av personopplysninger som kom på avveier. I en

rekke tilfeller har vi derfor måttet velge svaralternativer ut

fra hva som fremstår som rimelig og sannsynlig ut fra

situasjonen. Dette gir en viss usikkerhet knyttet til om alle

detaljer er helt riktige ut fra hvordan avviket faktisk var.

Kartleggingen består også kun av en rask gjennomgang av

hver enkelt sak. Vi kan ikke utelukke at noen detaljer kan

ha blitt mistolket eller oversett. Vi føler oss imidlertid

trygge på at disse usikkerhetsmomentene ikke endrer de

store linjene. Vi vil derimot advare mot å legge for mye i

eksakte prosentfordelinger. Det er et lavt antall saker i

datagrunnlaget. En sak kan alene være nok til å endre

prosentandelen.

Forsiktighet med allmenngyldige konklusjoner At Datatilsynet trolig kun mottar en liten andel av de

meldinger det burde fått, har konsekvenser for hvilke

slutninger vi kan trekke om avvik i virksomheter generelt.

Tallene som følger må leses som en beskrivelse av hvor

avvik faktisk har skjedd og hvor man også har meldt ifra.

Vi kan ikke se tallene som uttrykk for hvor og hvordan

informasjonssikkerhetsavvik skjer totalt sett. Eksempelvis

kan vi ikke trekke en slutning om at en bransje som står

for en femtedel av avviksmeldingene også står for en

femtedel av den totale mengde avvikene som skulle vært

meldt. En annen fortolkning vi må advare mot er å se

mange meldinger, enten fra en enkeltvirksomhet eller

bransje, som en god indikator på noens status som

7

versting. At det sendes mange meldinger kan ofte være

uttrykk for noe stikk motsatt: Bransjen/virksomheten er

flink til å oppdage avvik og har tilstrekkelige rutiner og

regelverkskunnskap til å sørge for at melding blir sendt. Vi

merker oss også at mange brev er sendt fra

personvernombud, noe kun en liten andel norske

virksomheter har.

Et interessant aspekt ved tallene er lett å overse: Hvem er det vi ikke får avviksmeldinger fra? Få eller ingen avviksmeldinger er etter vårt syn en bedre indikator på at noe er galt, enn at det kommer mange meldinger.

8

Hvem melder avvik til Datatilsynet?

Dette delkapittelet er viet hvilke aktører som sender

Datatilsynet avviksmeldinger og hvor avviket har skjedd.

Sektor Vi har kartlagt om avviksmeldingene kommer fra privat

sektor, offentlig sektor eller den såkalte tredje sektor. Med

tredje sektor mener vi forskjellige private foreninger, lag,

stiftelser med videre, som ikke har et kommersielt

siktemål. Eksempler på dette er idrettslag, trossamfunn,

ideologiske eller politiske organisasjoner, humanitære

organisasjoner og diverse friville organisasjoner. Nedenfor

ser du den prosentfordelingen per sektor.

Datatilsynet mottok altså en del flere avviksmeldinger fra

privat enn offentlig sektor i 2014. Tredje sektor er

representert, men tallet er lavt. Det er grunn til å spørre

seg hvorfor det meldes så få avvik fra tredje sektor, som i

mange tilfeller har en del personopplysninger – ikke minst

om sine medlemmer. Prosentandelen på tre tilsvarer fire

saker. Av disse er to fra religiøse organisasjoner, en fra en

fagforening og en fra et kompetanseforum.

Bransjer som ofte melder avvik Nedenfor ser du de bransjene som har en tosifret

prosentandel av avviksmeldingene til Datatilsynet i 2014.

Dem er det bare fem av.

2 Her rommer ett saksnummer i vårt arkiv beskrivelser av en rekke forskjellige avvikshendelser. Dette er et eksempel på en sak som er delt i flere forskjellige avvik eller kategorier av avvik med samme kjennetegn (se metodekapittelet).

Bank, finans og forsikring står samlet for mer enn halvpart

av alle avvik meldt fra private aktører, hele 35 prosent av

alle avvikene i datagrunnlaget.

Innenfor offentlig sektor kommer mange av

avviksmeldingene fra helse- og omsorgsvirksomheter, med

11 prosent (private helseaktører er holdt utenfor).

Kommunal sektor følger tett på med 10 prosent av alle

meldinger.

Det er mange avvik meldt i sammenheng med helse og

omsorg. Dersom en legger sammen privat og offentlig

helse og omsorg (søylen ovenfor viser bare offentlig), står

disse for totalt 17 prosent av avvikene. Tallet kunne vært

noe høyere om også kommunale helsetjenester, samt

helserelatert forskning hos rene forskningsinstitusjoner

var tatt med.

At direktorat, tilsyn og ombud kommer så høyt kan

fremstå som overraskende. Det er kun tre aktører bak

meldingene, hvorav to av disse kun har meldt om ett avvik.

De resterende2 kommer fra Nav, som håndterer enorme

mengder personopplysninger og forsendelser.

Privat sektor56 %

Offentlig sektor41 %

Tredje sektor

3 %Sektor

10%

11%

11%

12%

23%

0% 5% 10% 15% 20% 25%

Direktorat, tilsyn, ombud

Kommune/fylkeskommune/

interkommunale selskaper

Helse og omsorg - Offentlig

Forsikring

Bank og finans

Bransjer som oftest melder avvik

9

Bransjer Nedenfor ser du fordelingen av avvikssaker på alle

bransjene vi brukte i kartleggingen3.

Bransje Antall Prosent

Kommune/ fylkeskommune/

interkommunale selskaper

13 11 %

Departementer 0 0 %

Direktorater, tilsyn, ombud 12 10 %

Andre statlige 6 5 %

Helse og omsorg - Offentlig 13 11 %

Helse og omsorg - Privat 7 6 %

Bank og finans 28 23 %

Forsikring 14 12 %

Handel og service 4 3 %

E-handel 1 1 %

Nettjenester (ikke handel) 0 0 %

Inkasso 2 2 %

Konsulentbransje 1 1 %

Sikkerhetsselskap 1 1 %

Kredittopplysningsvirksomhet 2 2 %

Tele- og internettilbydere 3 3 %

Posttjenester 0 0 %

Transport 0 0 %

Industri 2 2 %

3 Enkelte tjenesteområder/virksomheter kunne hørt hjemme under flere bransjer. Vi gjør derfor oppmerksom på følgende:

Bransjen Kommune/fylkeskommune og interkommunale selskaper inkluderer den offentlige grunnskolen og videregående skoler, samt kommunale helse- og omsorgstjenester.

Primærnæring 0 0 %

Private barnehager, grunnskole og

videregående

0 0 %

Høyere utdanning (offentlig og privat) 4 3 %

Forskning 2 2 %

Media 1 1 %

Fagforening, arbeidsgiverforening 1 1 %

Idrett 0 0 %

Ideelle og humanitære organisasjoner 0 0 %

Politiske organisasjoner 0 0 %

Trossamfunn/ livssyn 2 2 %

Andre foreninger/lag/stiftelser 1 1 %

Det er hele ni bransjer vi ikke har mottatt avviksmeldinger

fra, herunder departementer, private barnehager og

private skoler, samt ideelle eller humanitære

organisasjoner.

Hos den ansvarlige virksomheten eller hos databehandleren? Plikten til å sende avviksmelding faller på den

virksomheten som er ansvarlig etter

personvernregelverket. Avviket skjer imidlertid ikke alltid

i den ansvarlige virksomheten selv. I kartleggingen har vi

søkt å ta stilling til om feilen har skjedd i virksomheten

selv, eller hos en annen part som gjør en jobb for den

ansvarlige virksomheten (og som inkluderer bruk av

personopplysninger). I personvernregelverket kalles den

ansvarlige virksomheten for behandlingsansvarlig. Parten

som gjør oppgaver på vegne av den ansvarlige

virksomheten kalles databehandler4. Både

behandlingsansvarlig og databehandler har plikt til å ha

god nok informasjonssikkerhet.

Under kategorien Forskning står kun forsknings- og registervirksomheter. Universiteter og helseforetak, som også driver men omfattende forskningsvirksomhet, er ført under Høyere utdanning og Helse og omsorg – Offentlig. Enkelte av avvikene her er forskningsrelaterte.

4 De to begrepene defineres i personopplysningslovens § 2 nr. 4 og 5.

10

I 15 prosent av sakene har avviket skjedd hos

databehandleren, de resterende skjedde i den

behandlingsansvarlige virksomheten.

Hvem informerer Datatilsynet? Avviksmelding, eller en type forvarsel om avviksmelding,

er nesten alltid første dokument i avvikssakene.

Meldingene er sendt fra behandlingsansvarlig virksomhet.

Det gjelder også i saker hvor feilen har skjedd hos

databehandleren. (I disse sakene legges det ofte ved

beskrivelser fra databehandleren.) I mange tilfeller går det

frem at det har vært kontakt med Datatilsynet på forkant,

gjerne på telefon.

Kun i en av 20 avvikssaker er første dokument noe annet

enn avviksmelding fra bedriften. Tre saker ble innledet av

informasjon fra mottakerne av personopplysningene. To

saker ble innledet av tips fra publikum eller informasjon

fra andre virksomheter. En sak ble igangsatt ved at

Datatilsynet skrev til virksomheten med etterlysning av

avviksmelding som følge av beskrivelser i media.

11

Slik gikk det galt

I kartleggingen har vi kategorisert avvikene etter hva som

gikk galt. Vi laget 25 kategorier, og vi fant en eller flere

avvikssaker på de fleste av disse. Nedenfor ser du en

oversikt over prosentfordelingen på forskjellige typer feil.

Vi har slått sammen noen underkategorier til

hovedkategorier, og vi holder utenfor kategorier som vi

ikke fant avvik på i 2014-sakene.

Kategori Antall Prosentandel

Forsendelsesfeil - digitale og analoge 57 48 %

Hacking/datainnbrudd 12 10 %

Snoking 9 8 %

Tilgangsstyring feilet, mangelfull eller manglet 7 6 %

Nettpublisering 6 5 %

Personopplysninger bevisst utlevert (ikke rettslig adgang til det) 4 3 %

Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 %

Avhending uten sletting/ makulering 2 2 %

Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 %

Andre avvik 19 16 %

Nedenfor kommenterer vi den enkelte kategori i korthet.

Forsendelsesfeil, som nesten utgjør halvparten av

avviksmeldingene, behandles mer utfyllende til sist.

Hacking eller datainnbrudd Hacking eller datainnbrudd er den største kategorien etter

forsendelsesfeil. Drøyt halvparten av disse kommer fra

norske virksomheter og omhandler forskjellige hendelser.

De resterende meldingene kommer fra forskjellige private,

amerikanske aktører, men grunntrekkene her er ganske

like: Bedriften har oppdaget et

informasjonssikkerhetsbrudd som har, eller som kan ha

omfattet norske kunder. Tap av kredittkortinformasjon

står sentralt. Disse varslene var ikke nødvendige etter

norsk lov da virksomhetene ikke var etablert i Norge.

Snoking Kategorien snoking er en av de største. Alle disse sakene

handlet om snoking utført av virksomhetens egne ansatte.

Noen virksomheter gir også tilgang til enkelte eksterne

aktører. Vi hadde derfor også en kategori for snoking

utført av eksterne, men dette fant vi ingen eksempler på i

2014.

De totalt 9 meldingene om snoking viser noe

oppsiktsvekkende: De er ikke spredt over mange bransjer,

og de kommer kun fra fire virksomheter – to banker, ett

helseforetak og ett kredittopplysningsbyrå. At meldingen

kommer fra helse og bank er ikke uventet. Kunden eller

pasienten har her rett til informasjon om oppslag på seg.

Det er det nok mange grunner til at Datatilsynet kun fikk

meldinger fra fire virksomheter. Deler av forklaringen

ligger antagelig i at mye snoking aldri blir oppdaget. Få

virksomheter har gode systemer for å oppdage snoking

eller avklare om oppslagene er snoking. En annen

medvirkende årsak til det lave tallet er at snoking kan

forstås som et avvik uten meldeplikt. Spørsmålet er om

snoking skal forstås som en «utlevering» i regelverkets

forstand av begrepet.

Tilgangsstyring feilet, mangelfull eller manglet Kategorien av tilgangsstyringsfeil representerer ganske

forskjellige avvik med den fellesnevner at noen – i de

fleste tilfeller uintendert – har fått en tilgang til

personopplysninger de ikke skulle hatt. Eksempler fra

2014 er at en elev logger seg inn på en læringsplattform,

men får tilgang til en annen brukers data, at en offentlig

myndighet har gitt en annen offentlig myndighet løpende

tilgang til data de ikke skulle hatt annet enn i enkeltsaker,

og at det på en kommunes nettside har vært mulig for de

mer datakyndige å hente ut saksdokumenter med

personopplysninger. Noen av sakene representerer ganske

finurlige, tekniske feil.

Internettpublisering Internettpublisering er utgangspunktet for avvikene i fem

prosent av sakene. Meldingene kommer nesten

utelukkende fra offentlige aktører som kommune, høyere

utdanning og statlig forvaltning. (Det var ett unntak fra

dette, et trossamfunn hvor konfirmantopplysninger

uintendert ble tilgjengelig på internett.) Flesteparten ser

ut til å stå i sammenheng med et ønske om, eller en plikt

til å offentliggjøre informasjon, saker eller dokumenter.

Avvikssakene handler eksempelvis om manglende

sladding av dokumentinnhold eller navn på offentlig

journal. I alle de seks sakene var enten sensitive

personopplysninger inkludert, eller opplysningene var

følsomme med hensyn til art eller mengde. Eksempelvis

har fullt navn på en student fremkommet på offentlig

journal i en sak om mistanke om eksamensjuks. Et annet

eksempel er publisering av saker om erstatning til ofre,

hvor personidentifiserende informasjon ikke ble

12

tilstrekkelig fjernet/sladdet. I halvparten av sakene har

fødselsnummer også blitt eksponert.

Personopplysninger bevisst utlevert Avvikene denne rapporten omhandler er stort sett uttrykk

for uhell, for menneskelige eller tekniske feil. Slike feil kan

være forårsaket av manglende bevissthet vedrørende

sikkerhet, svake rutiner eller dårlige tekniske løsninger,

men det er uansett hendelser som ikke er blitt forårsaket

med vilje. Dette er likevel ikke alltid tilfellet. Blant 2014-

sakene finnes det fire tilfeller hvor personopplysninger

bevisst ble utlevert, i hvert fall av en enkelt medarbeider.

Virksomheten kom i ettertid til, eller oppdaget i ettertid, at

det ikke skulle ha skjedd. Det er en overraskende

fellesnevner for disse fire sakene: De handler om register-

eller forskningsdata. Alle fire meldinger er sendt fra

offentlige virksomheter som universitet, helseforetak og

registre/ forskningsinstitusjoner. To av disse handler om

en urettmessig deling eller videreformidling av forsknings-

eller registerdata. En sak handlet om en utlevering av

registerdata som i ettertid viste seg å ha skjedd på et

sviktende beslutningsgrunnlag. Den siste handler om et

forskningsprosjekt som måtte avsluttes, og hvor prosjektet

hadde utlevert personopplysninger til personer som ikke

var ansatt i helseforetaket, og hvor disse heller ikke hadde

undertegnet nødvendig taushetserklæring.

Fysisk innbrudd - digitale eller analoge data forsvunnet Tre saker handler om fysiske innbrudd i lokaler eller

kjøretøy, og hvor personopplysninger er kommet på

avveier som følge av tyveriet. I det ene tilfellet handlet det

om analog informasjon – en notatbok som inneholdt

kundeinformasjon forsvant i sammenheng med et

bilinnbrudd. De to andre sakene handler om innbrudd i

lokaler hvor datautstyr ble stjålet, i det ene tilfellet en safe

hvor en back up av et legekontors journaler befant seg.

Avhending uten sletting/makulering To av sakene dreier seg om avhending uten at

personopplysninger først ble slettet eller ødelagt. I det ene

tilfellet ble laptoper levert til avfallshåndtering. Disse

inneholdt fortsatt harddisker med svært

beskyttelsesverdige personopplysninger som

elevvurderinger og individuelle planer. Den andre saken

handler om deler av et papirarkiv som skulle makuleres,

men hvor rengjøringspersonalet trodde papirene skulle

kastes i vanlig papirgjenvinning.

Mistet/gjenglemt/forlagt Kategorien mistet/gjenglemt/forlagt består av tre

underkategorier: Analog informasjon, laptop/nettbrett og

liknende, og til sist; minnepinner eller andre små digitale

lagringsmedier. Vi fikk altså bare en melding om dette i

2014. Henvendelsen kom fra et helseforetak som meldte

om at medarbeidere glemte pasientinformasjon i

arbeidstøyet, som senere gikk til vaskeriet.

Andre avvik I samlekategorien andre avvik har vi plassert de sakene

som ikke lett passer de mer spesifikke kategoriene.

Samlekategorien omfatter 19 saker uten noen spesielle

fellestrekk. En betydelig andel av disse ligger også et

grenseland med hensyn til meldeplikt. Vi gir her noen

eksempler fra kategorien:

Omtrent en håndfull av sakene handler egentlig om ett

avvik som rammet flere virksomheter i helsesektoren.

Disse benyttet seg av samme databehandler. En teknisk

feil i databehandlerens uthentingsmekanisme førte til at

enkelte pasienters fødselsnummer fulgte med i tillegg til

den informasjon som skulle hentes ut, og som ikke skulle

være personidentifiserende.

En av de mer spesielle avvikssakene ble igangsatt av et

tips. Tipseren hadde oppdaget at en offentlig myndighets

trafikkovervåkingskamera ved svenskegrensen (med

automatisk nummerskiltgjenkjenning) lå åpent tilgjengelig

over nett for dem med litt datatekniske ferdigheter.

Andre eksempler fra kategorien er et knippe meldinger fra

en kommune om oppdagelse av uautoriserte trådløse nett,

herunder på to skoler, som muligens kan ha gitt

uvedkommende tilgang til internt nett. En annen sak

omhandlet en teleoperatørs melding om at noen kunders

IP-telefoni-numre var tilgjengelig i nettleseren dersom

noen gjorde oppslag mot ruterens IP-adresse. Et annet

eksempel er en bedrifts utlevering av fortrolig adresse

grunnet en feil i oppdatering av informasjon.

Forsendelsesfeil Med sine 48 prosent utgjør forskjellige forsendelsesfeil –

analoge og digitale – den største gruppen av avvik. I

kartleggingen laget vi ti forskjellige typer feil med basis i

tidligere erfaringer. I 2014 fikk vi en eller flere meldinger

for syv av disse. Nedenfor vises antall saker, inkludert de

kategoriene vi ikke fant eksempler på i 2014-sakene.

13

Når det gjelder digitale forsendelser, er det i praksis e-post

vi får meldinger om. Uavhengig av om det er brev eller e-

post, er de to største kategoriene egentlig de samme:

Det sendes til gal mottaker, typisk at en mottaker

får et brev som var ment for en annen.

Det var meningen å sende til mottakeren, men

innholdet er på en eller annen måte galt, eller det

er for mye innhold. Typiske eksempler er at en

mottaker får et brev sammen med hele eller deler

av et brev som var ment for en annen. Av og til

har tekniske prosesser feilet, eksempelvis at et

brev går til riktig person, men at deler av

innholdet som automatisk er flettet inn, tilhører

en annen. Deler av den kategorien handler også

om vedlegg til e-post, hvor avsender ikke har vært

tilstrekkelig bevisst på hvor mye informasjon som

ligger i vedlegget, eller om det også inneholdt

opplysninger om andre.

46 av 57 saker handlet om de to kategoriene ovenfor,

forholdvis jevnt fordelt mellom e-post og brev.

Avsløring av andres e-postadresser, som vi fant fem

eksempler på, skjer typisk i forbindelse med

masseutsendelser. Listen over de som skal motta e-posten

burde vært satt i blindkopi. I stedet er listen satt i til-feltet,

slik at alle kan se hvem andre som har mottatt e-posten.

Med mindre noen har behov for konfidensialitet om

kontaktopplysninger, er selve eksponeringen av e-

postadressen ikke et stort problem. Problemet er gjerne at

mottakerlisten indirekte eksponerer et klient- eller

kundeforhold. Det finnes en åpenbar fellesnevner for alle

mottakerne, kanskje også en temmelig følsom

fellesnevner, for eksempel at mottakerne er personer med

en spesiell helseproblematikk, eller at e-posten er rettet til

arbeidsledige. Et tilleggsmoment ved denne type avvik er

at det ofte er mange mottakere. Avvikene har også noen

andre fellestrekk: Utgangspunktet er en menneskelig feil.

Antallet berørte og antallet mottakere er gjennomgående

høyt (hovedsakelig mellom 100 og 5000), og mottakerne

er privatpersoner. Dette gjør skadereduserende tiltak

vanskeligere, og det er vanskelig å få bekreftet sletting.

En type forsendelsesfeil å merke seg er postforsendelser

som inneholder digitale lagringsmedier, for eksempel

minnepinner. Vi fikk i 2014 melding om fire forsvunne

minnepinner. Selve konvolutten – i skadet form riktignok

– kom gjerne frem, men uten innhold. Avviket ble ofte

oppdaget ved at mottaker meldte fra til avsender. I alle

fire saker inneholdt lagringsmediet sensitive

personopplysninger, og i tre av firer saker hadde

lagringsmediet informasjon om et høyt antall mennesker.

Flesteparten av minnepinnene var imidlertid beskyttet. To

var kryptert og en var beskyttet med passord. Samtlige

meldinger kom fra statlige virksomheter, og forsendelsene

var sendt mellom virksomheter. Vi fikk ingen meldinger

om at papirer hadde forsvunnet i løpet av postgangen.

En annen typisk forsendelsesfeil er at fødselsnummeret er

synlig fra utsiden av konvolutten. Fødselsnummeret kan

stå på selve brevet, men likevel være synlig gjennom

konvoluttens plastvindu for navn og adresse.

At vi ikke fikk noen avviksmeldinger om telefaks i 2014

betyr neppe at det var et feilfritt år. Det kan imidlertid

bære bud om at typen feil, som tidligere har vært mye av,

nå er på hell.

9

5

12

13

12

2

0

0

4

0

0 5 10 15

Digital forsendelse - feilmottaker

Digital forsendelse -avsløring av andres e-

postadresse

Digital forsendelse - galtinnhold/ for mye innhold

Postal forsendelse - feilmottaker

Postal forsendelse - galtinnhold/ for mye innhold

Postal forsendelse -Fødselsnummer synlig

Postal forsendelse - annenskjermingsverdig info

synlig

Postal forsendelse - analoginfo forsvunnet, revet,

eksponert

Postal forsendelse - digitaltmedium forsvunnet(minnepinne/CD)

Annen feilforsendelse,eksempelvis telefaks

Forsendelsesfeil -antall

14

Generelt om forsendelsesfeil Blant de forskjellige forsendelsesfeilene er det en overvekt

av analoge informasjonsmedier og sendemåter (papirbrev

og post) i forhold til digitale.

Forsendelsesfeilene forårsakes både av menneskelige og av

tekniske feil. Feilene knyttet til e-post er i all hovedsak

menneskelige feil. For avvik knyttet til brev er det mer

variabelt hva som er årsaken. Flesteparten av avvikene har

vi imidlertid tolket som menneskelige feil. Av og til ser vi

også at årsaken til feilen er blandet: Eksempelvis har det

skjedd en teknisk feil som har ført til feil pakking eller feil i

selve innholdet i brevene. Ofte burde dette vært oppdaget

gjennom kontrollrutiner utført av mennesker.

Kontrollrutinen har i disse tilfellene manglet, feilet eller er

ikke blitt gjennomført.

Omtrent to tredjedeler av avviksmeldingene kommer fra

privat sektor (37 av 57), hovedsakelig fra

forsikringsselskaper eller bank- og finanssektoren. En

tredjedel kom fra offentlig sektor (19 av totalt 57). Kun en

melding kom fra tredje sektor.

Oftere interne glipper og feil enn innbrudd og hacking Et interessant tema er hva sakene forteller oss om avvik

som resultat av indre eller ytre trusler.

De tidligere presenterte kategoriene av avvik lar seg dele

opp etter om avviket primært er forårsaket av en ekstern

part eller om årsaken primært er intern, eksempelvis egne

ansatte eller egne systemer. Feil som har skjedd hos en

databehandler regner vi også som intern. Å bruke en

databehandler er et valg, og databehandleren skal også

være instruert av den ansvarlige virksomheten gjennom

avtale.

Kategoriene hacking/datainnbrudd og fysisk innbrudd

faller klart innenfor primært eksterne årsaker. De

resterende kategoriene må forstås som interne årsaker. To

kategorier har vi ikke plassert. Det gjelder kategoriene

«andre avvik», samt forsendelsesfeil hvor minnepinne

eller liknende har forsvunnet i postgangen. (Dette kan

dreie seg om stjeling eller om dårlige konvolutter, men når

man har valgt denne forsendelsesmåten må begge disse

årsakene kunne forstås som en akseptert risiko.)

Ikke uventet er det de interne årsakene som dominerer

statikken:

Tallene viser at avviksmeldingene i de fleste tilfeller

handler om forhold bedriften har styring over: Det dreier

seg om egne ansatte, egne IT-systemer og bedriftenes egne

rutiner og valg, herunder parter bedriften har valgt til å

behandle personopplysninger på deres vegne. Ondsinnede

handlinger fra eksterne aktører er en viktig del av bildet,

men utgjør tross alt bare en liten del av det totale antallet

avviksmeldinger.

Hvor var personopplysningene lagret da de kom på avveier? I kartleggingen har vi kategorisert avvikene ut fra hvilket

lagringsmedium personopplysningene var på da de kom

på avveier, eventuelt om avviket står i sammenheng med

nettpublisering eller en digital kommunikasjonskanal som

e-post. Nedenfor ser du fordelingen vi fant:

s

46 %

54 %

Forsendelsesfeil

Digitale Analoge, inkl minnepinne i post

Intern85 %

Ekstern15 %

Primær årsak

15

De tre store kategoriene ligger mellom 23 og 34 prosent.

E-post og papirer viser i hovedsak til den tidligere

kommenterte avvikskategorien forsendelsesfeil. Med

hensyn til papirer finnes et knippe avvik som ikke handler

om forsendelser, men om stjeling, manglede makulering

og gjenglemte notater og papirer.

Hver for seg viser e-post- og papirandelen noe viktig:

Det skjer ofte feil knyttet til e-post, og bedrifter

gjør klokt i å ha gode rutiner og et høyt

bevissthetsnivå på dette feltet, samt vurdere tiltak

for å begrense e-post som forsendelseskanal for

personopplysninger.

I en stadig mer digitalisert hverdag er det viktig å

merke seg andelen uautoriserte utleveringer i

analog form. Andelen er høy. De analoge

utfordringene er slett ikke historie og må ikke

glemmes.

I mange av avvikssakene var opplysningen som kom på

avveier, lagret på noe du ikke kan sende i en konvolutt

eller enkelt ta med deg i en lomme eller under armen.

Opplysningene befant seg på virksomhetens servere –

egne eller databehandlers – skylagring inkludert. I mange

tilfeller var opplysningen også å finne i virksomhetens IT-

systemer for kunder eller klienter. Dette er den største

kategorien i figuren over. Det handler eksempelvis om

ansattes snoking i kontohaveres transaksjoner, pasienters

journaler, hacking fra ukjente aktører hvor

personopplysninger blir hentet ut, at tilgangsstyringen har

hatt en teknisk feil, eller at det er gitt tilganger som ikke

burde vært gitt. Mange av avvikssakene plassert i

samlekategorien «Andre avvik» handler også om

personopplysninger lagret på servere eller i skyen.

I åtte prosent av sakene var det interessante ikke så mye

hvor opplysningene opprinnelig var lagret, men at de ble

tilgjengeliggjort på Internett. Disse var enten blitt

publisert på nett, eller var uintendert gjort åpent

tilgjengelig på Internett.

I tillegg til det nevnte, finner vi avvikssaker vedrørende

stasjonære datamaskiner, bærbare datamaskiner og små

lagringsmedier som minnepinner. I 2014 fikk vi kun

avviksmeldinger om minnepinner i tilknytning til

forsendelser. Fra tidligere er vi kjent med andre

hendelsesforløp, for eksempel at en medarbeider mister

eller glemmer igjen en minnepinne.

I 2014 fikk vi ingen saker om små håndholdte enhet som

PDA-er, nettbrett eller smarttelefoner.

Papir og annet analogt28 %

Minnepinne, CD og andre små digitale

lagringsmedium5 %

Smarttelefon, PDA, nettbrett (små

håndholdte digitale)0 %

Laptop og liknende 1 %

Stasjonære datamaskiner1 %

Server, større IT-systemer og skylagring

34 %

E-post og annen digital forsendelse

23 %

Nettpublisering/ åpent på nett

8 %

Primært lagringsmedium/ teknologi i avviket

16

Antall berørte, spredning og konfidensialitetsbehov

Vi har søkt å kartlegge hvor mange personer som er berørt

i hver avvikssak, det vil si hvor mange personer som er

blitt rammet av at deres personopplysninger er blitt

utlevert. Vi har også søkt å få oversikt over hvor mange

som feilaktig har mottatt eller tilegnet seg

personopplysningene. Dette må forstås som den

umiddelbare spredningen. En eventuell påfølgende

spredning er ikke tatt med, og er også umulig å ta stilling

til. I dette kapittelet vil vi videre belyse hvem som mottok

opplysningene, og hvor følsomme personopplysningene

som kom på avvei var.

Det har dels har vært vanskelig å lage tall om dette temaet.

Vi har brukt svaralternativer som gjør at man slipper å vite

eksakt antall for å kunne plassere. Likevel har det vært

vanskelig å ta stilling i mange saker. I mange tilfeller er

dette lite konkret beskrevet i sakene, og i noen tilfeller

kjente virksomheten selv ikke det eksakte antallet. Vi har

så langt som mulig søkt å plassere i tallkategorier, også

med basis i hva som fremstår som sannsynlig ut fra

sammenhengen. I en del tilfeller har det imidlertid ikke

vært mulig. Av den grunn finnes alternativene Uvisst –

trolig mindre enn 100 og Uvisst – trolig mer enn 100.

Leseren bør derfor ikke legge for mye inn i de eksakte

prosentfordelingene, men mest merke seg trendene.

Også med hensyn til hvor følsomme de utleverte

personopplysningene var, har det dels vært vanskelig å

plassere enkelte saker. Også her har vi måttet basere oss

på antagelser med utgangspunkt i hva som virker rimelig

og sannsynlig. Vi mener likevel at oversiktsbildet som gis

er til å stole på.

Berørte og mottakere Diagrammet under viser andel saker etter hvor mange

som ble berørt. Deretter følger diagrammet som viser

andel saker etter antall mottagere av opplysninger de ikke

skulle hatt.5 Med mottaker mener vi både de som

uforskyldt mottok personopplysninger om en annen

person, og de som tilegnet seg personopplysninger

gjennom en aktiv handling.

5 Vi gjør her oppmerksom på at antall berørte og mottakere tilsvarer involvert i hver sak/ avvikshendelse. Det får enkelte avvikssaker til å fremstå med en mer kritisk spredning enn de egentlig hadde. Eksempelvis har en bedrift sendt 500 brev hvor hvert brev blir sendt til feil person. Det betyr 500 berørte og 500

Diagrammene viser et ganske likt mønster. Søylene er

høyest på diagrammets venstre side (lave tallkategorier).

Andelen stiger igjen på diagrammet høyre siden med

svaralternativene hvor det er uvisst hvor mange

berørte/mottakere det var.

Det vanligste er én berørt og én mottaker. Grafene viser

ikke uventet at de høyere tallkategoriene er mer vanlig

med hensyn til berørte enn mottakere. I godt over

halvparten av sakene (56 prosent) var antallet mottakere

mellom 1 og 10. Til sammenlikning var det mellom 1 og 99

berørte i godt over halvparten av sakene (57 prosent)6.

mottakere, men hver berørte person har kun fått sine personopplysninger utlevert til en person.

6 Svaralternativet Uvisst – trolig mindre enn 100 er ikke tatt med.

26%

18%

13%

9%

1%

8%

2% 1% 1%

13%11%

0%

5%

10%

15%

20%

25%

30%

1 p

erso

n

2 -

10

11

- 9

9

10

0 -

49

9

50

0 -

99

9

1 0

00

- 4

99

9

5 0

00

- 9

9 9

99

10

0 0

00

- 9

99

99

9

1 0

00

00

0 -

5 0

00

00

0

Uv

isst

- t

roli

g m

ind

re e

nn

10

0

Uv

isst

- t

roli

g m

er e

nn

10

0

Sa

ke

r

Berørte

Antall berørte i sakene

17

Diagrammet under viser hvem personopplysningene

havner hos. Tallene er basert på primær mottakergruppe i

hver sak. Det er altså ikke tatt hensyn til hvor mange

mottakere det er i hver sak.

Det er flest avvikssaker hvor personopplysningene havnet

hos et enkeltmenneske i egenskap av privatperson. Dette

henger tett sammen med forsendelsesfeil, hvor

eksempelvis et brev sendes til feil person.

Den nest største gruppen utleveringer havner hos en

virksomhet – dette inkluderer én spesifikk person i annen

virksomhet.

I en del saker, 11 prosent, havner personopplysningene

hos en eller flere av virksomhetens egne ansatte, som ikke

skulle hatt opplysningene. Dette handler i stor grad om

snoking, men også om ganske andre hendelser, som feil

innhold i lønns- og trekkoppgaver og svikt i

tilgangsstyring.

Totalt sett er det 23 prosent avvikssaker hvor det ikke er

klart hvem personopplysningen havnet hos. Kartleggingen

har to grupper for dette:

Gruppen Ukjent i diagrammet over (17 %)

rommer saker hvor personopplysninger har

havnet på avveier gjennom hacking eller

innbrudd. I tillegg er tap av minnepinne i

postgang satt her, som kan bety at den er stjålet

eller bare forsvunnet. Her finnes også enkelte

internettrelaterte avvik hvor det har vært mulig å

utnytte feil i løsningen, eller fraværende sikring,

til å få tilgang til opplysninger.

Gruppen Udefinerbar viser til internettrelaterte

avvik, men i form av internettpublisering

(intendert eller i vanvare) – ikke feil i løsningen

eller dårlig sikring. (Internettpublisering

innebærer noe vi godt kan kalle en utlevering til

en udefinerbar flerhet – alle og ingen.) Alminnelig

surfing eller søk på søkemotorer kan føre til at

opplysningen blir eksponert for hvem som helst.

Hvem og hvor mange som fikk opplysningene er

svært vanskelig å vite.

I et lite knippe saker (3 %) er den primære mottakeren

personen som opplysningene handler om, men

personopplysninger ble likevel eksponert for

utenforstående. Alle disse handler om eksponering av

fødselsnummer, enten synlig utenpå konvolutten eller i e-

post, noe som kan ha medført at andre kan ha tilegnet seg

fødselsnummeret.

Avvikssakene handler oftest om følsomme opplysninger For at et avvik skal være meldepliktig, må

personopplysningene kunne forstås som

beskyttelsesverdige. «… hvor konfidensialitet er

nødvendig», sier bestemmelsen. Dette representerer ingen

høy terskel. Det er altså verken nødvendig at

38%

18%

7% 7%

0%3%

0%4%

18%

7%

0%

5%

10%

15%

20%

25%

30%

35%

40%

Sa

ke

r

Mottakere

Antall mottakere i sakene

Privatperson 39%

Virksomhet25%

Udefinerbar (Internettpublisert) 6%

Personen selv 3%

Ansatt i virksomheten (snoking inkludert) 11%

Ukjent (typisk

hacking, innbrudd, tapt) 17%

Hvem fikk personopplysningene i

hende?

18

opplysningene per definisjon er sensitive7, eller spesielt

private eller følsomme. I kartleggingen har vi derfor søkt å

belyse hvor ofte, og i hvilken grad, opplysningene på

avveier er følsomme.

En åpenbart interessant informasjonstype er

fødselsnummeret (ofte kalt personnummer). Flere

tidligere undersøkelser stadfester at de fleste ønsker sitt

fødselsnummer beskyttet. Det viser seg at fødselsnummer

er blant opplysningene som ofte kommer på avveier. I litt

mer enn halvparten av sakene – 53 prosent – var

fødselsnummer involvert. Nedenfor ser du resultatet av

følgende, mer skjønnsmessige karteleggingsspørsmål8: Var

personopplysningene følsomme?

I en snau fjerdedel av avvikssakene vurderer vi at

opplysningene som er kommet på avveier ikke er

følsomme. Men som det går frem av figuren, er følsomme

opplysninger som oftest involvert. 23 prosent inneholder

opplysninger som er sensitive i personopplysninglovens

forstand, mens 34 prosent må forstås som følsomme med

hensyn til art eller mengde. I tillegg kommer kategorien

med fødselsnummer uten øvrige følsomme opplysninger,

på 20 prosent.

7 Personopplysningsloven definerer hva som regnes for sensitive personopplysninger, eksempelvis helseopplysninger, opplysninger om etnisk bakgrunn, religiøs eller politisk oppfatning og seksuelle forhold (paragraf §2 nr 8.)

8 Vi forklarer her kort hvordan vi har vurdert hva som skal settes under hvilket svaralternativ. Dersom utleveringen inkluderte sensitive personopplysninger i lovens forstand har vi valg svaralternativet Sensitive personopplysninger. Grensedragningen mellom følsomme (men altså ikke per definisjon sensitive)

At avvikssakene oftest handler om følsomme

personopplysninger viser noe av alvoret for både

personene det gjelder og virksomhetene det glapp for.

At uvedkommende har fått personopplysninger i hende

betyr ikke at det alltid er lett for dem å tilegne seg

informasjonen. Data kan være passordbeskyttet, kryptert,

eller at informasjonen er vanskelig å forstå eller knytte til

individer. I beste fall er det usannsynlig at uvedkommende

klarer å skaffe seg adgang. Blant avvikssakene er det

eksempler på virksomheter som hadde en ekstra sikkerhet

da det først gikk galt. Tidligere i rapporten er tap av

minnepinner i posten nevnt. To av disse var kryptert.

I mange avviksaker er en slik sikring ikke mulig eller

relevant. En ansatt som snoker har allerede tilgang til

informasjonen. Et feilsendt brev er like lesbart for

mottakeren som den som egentlig skulle fått det. Likevel

finnes det i en del tilfeller et uutnyttet potensial. Vi ser

dessverre få avvikssaker hvor de uintenderte mottakerne

står overfor store hindringer for å tilegne seg data.

og ikke følsomme personopplysninger er vanskeligst. Vi har her også sett hen til mengden opplysninger, som lett kan gjøre informasjonen mer følsom. Følgende eksempler kan illustrere vår grensedragning: En persons saldo på kontoer på et visst tidspunkt har vi ikke forstått som følsomme. Vi har derimot vurdert kontoutskrifter, som vil vise pengebruk og steder man har handlet, som følsomme med hensyn til art og mengde.

Ikke følsomme

23%

Fødselsnummer -for øvrig ikke

følsomme 20%

Følsomme med

hensyn til art eller mengde

34%

Sensitive personopplysninger

23%

Var personopplysningene

følsomme?

Besøksadresse:

Tollbugata 3, 0152 Oslo

Postadresse:

Postboks 8177 Dep., 0034

Oslo

postkasse@datatilsynet.no

Telefon: +47 22 39 69 00

datatilsynet.no

personvernbloggen.no