slik gikk det galt i Året som gikk - datatilsynet...analog form. i litt færre tilfeller var e-post...
TRANSCRIPT
2
Sammendrag
Personvernregelverket krever at virksomheter melder fra
til Datatilsynet når beskyttelsesverdige
personopplysninger har kommet på avveier. Dette kaller vi
avviksmeldinger til Datatilsynet. Vi har kartlagt innholdet
i avviksmeldinger fra 2014. Rapportens mål er å formidle
hva som skjedde i disse avvikene, primært gjennom tall og
kategorier.
At Datatilsynet kun har 116 avvikssaker fra 2014 stadfester
at det finnes store mørketall. Vi må derfor være ytterst
forsiktige med å trekke enkelte typer slutninger basert på
mottatte meldinger.
Datatilsynet mottar noe flere avviksmeldinger fra privat
enn offentlig sektor. Flest meldinger kommer fra
forsikring, bank og finans. Fra offentlig sektor mottar
Datatilsynet flest avviksmeldinger fra helse og omsorg og
kommunal sektor.
Den desidert største kategorien avvik handler om
forsendelser, for eksempel at et brev sendes til feil person
eller at et e-postvedlegg hadde mer informasjon enn
avsender tenkte. Andre store avvikskategorier er
hacking/datainnbrudd, snoking og at tilgangsstyringen
feilet eller var mangelfull.
Årsaken til avviket var oftest intern. Det handler om egne
ansatte, egne IT-systemer eller rutiner. Det er mer sjeldent
at avviket var forårsaket av eksterne, som ved hacking eller
innbrudd.
Snaue tre av ti saker handler om opplysninger på avveier i
analog form. I litt færre tilfeller var e-post den sentrale
teknologien i avviket. Laptop-er og minnepinner står
sentralt i enkelte avvik, men tallet er lavt i forhold til andre
lagrings- eller kommunikasjonsmedier. I snaue tre av ti
tilfeller var personopplysningene lagret på virksomhetens
servere da de kom på avveier. At personopplysninger kom
på avveier på grunn av internettpublisering finner vi en
del eksempler på, men tallet er mye lavere enn
eksempelvis avvik knyttet til e-post.
Det er flest avvikssaker hvor personopplysningene havnet
hos en privatperson. Den nest største gruppen havner hos
en virksomhet. I en snau fjerdedel av sakene er det ikke er
klart hvem personopplysningen havnet hos. I en av ti
saker havnet personopplysningene hos en eller flere av
virksomhetens egne ansatte, som ikke skulle hatt
opplysningene.
De fleste avvik fører til utlevering av personopplysninger
om et lite antall personer, i mange tilfeller kun én person.
Antallet personer som fikk opplysningene i hende er også
vanligvis lavt. Imidlertid er personopplysningene oftest
følsomme eller per definisjon sensitive. I litt mer enn
halvparten av sakene var fødselsnummer involvert.
3
Innhold Sammendrag ............................................................................. 2
Om rapporten ........................................................................... 4
Avviksmeldinger til Datatilsynet og hva vi kan
lære av dem .......................................................................... 4
Målet med rapporten ........................................................ 4
Store mørketall ................................................................... 4
Vi er prisgitt de som lager informasjon om oss ..... 4
Om metode og tallgrunnlaget bak rapporten .............. 6
Kartleggingen ....................................................................... 6
Dataene brukt i rapporten .............................................. 6
Usikkerhet om enkeltdetaljer ....................................... 6
Forsiktighet med allmenngyldige konklusjoner ... 6
Hvem melder avvik til Datatilsynet? ............................... 8
Sektor ...................................................................................... 8
Bransjer som ofte melder avvik ................................... 8
Alle bransjer ......................................................................... 9
Hos den ansvarlige virksomheten eller hos
databehandleren? .............................................................. 9
Hvem informerer Datatilsynet? ................................ 10
Slik gikk det galt ................................................................... 11
Hacking eller datainnbrudd ................................... 11
Snoking ........................................................................... 11
Tilgangsstyring feilet, mangelfull eller
manglet ........................................................................... 11
Internettpublisering .................................................. 11
Personopplysninger bevisst utlevert ................. 12
Fysisk innbrudd - digitale eller analoge data
forsvunnet ..................................................................... 12
Avhending uten sletting/makulering ................. 12
Mistet/gjenglemt/forlagt ........................................ 12
Andre avvik ................................................................... 12
Forsendelsesfeil ........................................................... 12
Oftere interne glipper og feil enn innbrudd og
hacking ................................................................................. 14
Hvor var personopplysningene lagret da de kom
på avveier?.......................................................................... 14
Antall berørte, spredning og
konfidensialitetsbehov ....................................................... 16
Berørte og mottakere ..................................................... 16
Avvikssakene handler oftest om følsomme
opplysninger ...................................................................... 17
4
Om rapporten
Avviksmeldinger til Datatilsynet og hva vi kan lære av dem Hver dag skjer informasjonssikkerhetsavvik i norske
virksomheter. Det kan eksempelvis dreie seg om
datainnbrudd, snoking, at viktige opplysninger går tapt
eller at følsomme opplysninger sendes til gal person.
Avvikene kan være små eller store, de kan være lite
alvorlige eller svært kritiske. Ingen myndighet har full
oversikt over hvor mange eller hvilke feil som skjer.
Personvernregelverket setter imidlertid et krav om å
melde fra til Datatilsynet om informasjonssikkerhetsavvik
som fyller visse kriterier. Virksomheten må da sende en
såkalt avviksmelding til Datatilsynet hvor det beskrives
hva som skjedde. Med basis i avviksmeldingen kan det
lages statistikk, og det er disse
informasjonssikkerhetsavvikene denne rapporten handler
om.
Ordet informasjonssikkerhet omfatter mye mer enn vern
av personopplysninger. Det handler også om vern av
forretningshemmeligheter, informasjon av betydning for
rikets sikkerhet eller opplysninger som kan lette
gjennomføring av kriminelle handlinger. Plikten til å
sende avviksmelding til Datatilsynet er altså en svært
begrenset plikt i forhold til det totale spekteret av
informasjonssikkerhetsavvik. Dette er viktig å merke seg
for å forstå hva rapporten belyser og hva den ikke belyser.
For det første er plikten avgrenset til
informasjonssikkerhetsavvik med betydning for
personvernet. Plikten avgrenses ytterligere av at avviket
må ha medført at personopplysninger har kommet på
avveier, samt at opplysningene må kunne forstås som
beskyttelsesverdige. Bestemmelsens ordlyd1 bruker
ordene «uautorisert utlevering» og «personopplysninger
hvor konfidensialitet er nødvendig». Med utlevering
forstås det her at opplysningene må ha kommet ut av den
ansvarlige virksomhetens kontroll, altså at data er, eller
kan ha blitt, eksponert for uvedkommende, eller er
kommet uvedkommende i hende.
Det ligger flere hensyn bak meldeplikten. Datatilsynet
informeres om sikkerhetsbrister av betydning. Videre gir
informasjonen Datatilsynet mulighet til å forvisse seg om
at ansvarlig virksomhet har iverksatt tilstrekkelige
korrigerende tiltak. Ved behov kan Datatilsynet følge
avvikssaken ytterligere opp. Plikten har også betydning for
1 Plikten til å sende avviksmelding reguleres i personopplysningsforskriftens § 2-6 tredje ledd:
virksomhetene, fordi den medvirker til at disse på
selvstendig grunnlag følger opp avviket.
Avvikssakene har ikke kun verdi etter at noe har skjedd.
Gjennom meldingene får Datatilsynet mulighet til danne
seg oversikt over spesielle problemområder eller utsatte
bransjer. Sakene gir oss et erfaringsgrunnlag om
problemområder, om ulike typer risiko og om hva som
ofte går galt. Den samme informasjonen er nyttig for
virksomhetene, som må ta stilling til hva de må verne seg
mot og hvor det er særlig viktig å ha gode rutiner.
Avviksmeldingene viser oss et bredt spekter av ting som
kan gå galt og er således verdifullt for virksomhetens
arbeid med risikovurderinger.
Målet med rapporten Målet med denne rapporten er å gjøre tilgjengelig
informasjon om informasjonssikkerhetsavvik med
utgangspunkt i avviksmeldinger som Datatilsynet har
mottatt. Dette fremstilles primært på et overordnet nivå
gjennom tall og kategorier. Fokus rettes mot selve
avvikene – altså hva som gikk galt, forholdene rundt
avviket og hvilke aktører avvikene skjedde hos.
(Virksomhetens og Datatilsynets oppfølging i etterkant er
ikke tema for denne rapporten).
Av ressursmessige hensyn har vi begrenset
informasjonsmengden til avvikssaker opprettet i løpet av
2014. Med unntak av noen få, er saksbehandlingen av
disse sakene nå avsluttet.
Store mørketall Datatilsynet opprettet 116 avvikssaker i 2014. Det er
åpenbart noe rart med tallet: Var det virkelig ikke flere
tilfeller i 2014 hvor beskyttelsesverdige
personopplysninger havnet hos uvedkommende? Jo, det
kan vi føle oss helt trygge på at det var. Vi har all grunn til
å tro at mottatte avviksmeldinger kun representerer en
liten andel av hva som burde vært meldt. Av den grunn må
vi være ytterst forsiktige med å trekke enkelte typer
slutninger med basis i mottatte meldinger. Dette vil vi
komme tilbake til i neste kapittel.
Vi er prisgitt de som lagrer informasjon om oss Avviksmeldingen minner oss både om en stående
utfordring, så vel som en stående omkostning ved å
behandle personopplysninger: Det er ingenting som er
helt sikkert. Feil vil skje.
«Dersom avviket har medført uautorisert utlevering av personopplysninger der konfidensialitet er nødvendig, skal Datatilsynet varsles.»
5
Personvernet handler i stor grad om det enkelte
menneskets rett og mulighet til å råde over egne
personopplysninger. Avviksmeldingene viser oss en bister
realitet i relasjon til selvråderetten: Det er fint lite det
enkelte mennesket kan gjøre for å sikre seg mot at
virksomheter mister kontroll over deres opplysninger. Vi
er alle prisgitt de som har opplysninger om oss, deres evne
til å unngå avvik, og deres evne til å oppdage de feil som
skjer, og å lære av dem.
6
Om metode og tallgrunnlaget bak rapporten
Kartleggingen Objektet for denne rapporten er
informasjonssikkerhetsavvik beskrevet i meldinger til
Datatilsynet. Datatilsynet etablerte 116 avvikssaker i 2014.
Avvikssakene har en egen kode i vårt arkivsystem.
Vi har kartlagt avvikssakene med utgangspunkt i en rekke
fastlagte spørsmål med faste svaralternativer.
Spørsmålene er tilpasset meldepliktige
informasjonssikkerhetsavvik, hvor det sentrale kriteriet er
at personopplysninger må ha kommet på avveier.
Spørsmålene handler altså om hvordan opplysningen kom
på avveier og en rekke forhold rundt hendelsen, som
eksempelvis antall berørte, involverte bedrifter osv.
Svarene er satt inn i tabell. Hver sak har sin linje i
tabellen. Svar på hvert kartleggingsspørsmål følger utover
på linjen.
Dataene brukt i rapporten Datagrunnlaget for rapporten er ikke er helt
sammenfallende med avvikssaker fra 2014 i vårt
arkivsystem. Kartleggingen er sentrert om utleveringen
som skjedde, og for at datagrunnlaget skulle fungere,
måtte vi trekke noen saker ut og dele opp andre saker:
Vi har fjernet omtrent ti saker. I nesten alle disse
sakene har avviket ikke har medført uautorisert
utlevering av personopplysninger. Flesteparten av
kartleggingsspørsmålene blir da umulige å
besvare eller fremstår som meningsløse. (Det har
i disse sakene oftest skjedd et annet avvik som er
relevant å informere Datatilsynet om,
eksempelvis langvarig brudd på slettefrister.)
De aller fleste avvikssaker omhandler ett avvik/en
hendelse. For disse er kartleggingen enkel: En sak
betyr en linje i datatabellen. Verre er det med de
få sakene hvor det meldes om flere avvik
samtidig. Dette kan dreie seg om vidt forskjellige
avvik som oppsto i løpet av en lengre periode.
Avvikene kunne like godt vært sendt enkeltvis,
men virksomheten har valgt å sende inn avvikene
samlet. Både av hensyn til å få mest mulig
relevante data, og for i det hele tatt å kunne
besvare kartleggingsspørsmålene, har det vært
nødvendig å dele disse sakene opp i enkeltavvik,
eventuelt grupper av avvik med samme
karakteristika. Hvert enkeltavvik (eventuelt hver
gruppe av avvik) er her gitt hver sin linje i
tabellen, og behandles slik sett på samme måte
som om det var ett enkelt avvik registrert på ett
saksnummer. Vi nevner her at ordene avvikssak
eller sak brukes i rapporten uavhengig av om det
er snakk om ett avvik med ett saksnummer eller
en utskilt avvikshendelse i en sak om mange
avvik.
Etter at noen saker er fjernet og noen saker er delt opp,
består datagrunnlaget av 120 avvikssaker – et tall som er
temmelig likt antallet saker i vårt arkiv. Datagrunnlaget er
da avgrenset til saker som er meldepliktige etter
regelverket, samt avvikssaker hvor formell meldeplikt
kanskje er usikker, men hvor det likevel har skjedd et
informasjonssikkerhetsavvik hvor personopplysninger
(muligens) er kommet på avveier.
Usikkerhet om enkeltdetaljer En del avvikssaker mangler klare tall eller fullstendige
beskrivelser av elementer vi har søkt å kartlegge,
eksempelvis hvor mange som ble berørt, eller den fulle
bredden av personopplysninger som kom på avveier. I en
rekke tilfeller har vi derfor måttet velge svaralternativer ut
fra hva som fremstår som rimelig og sannsynlig ut fra
situasjonen. Dette gir en viss usikkerhet knyttet til om alle
detaljer er helt riktige ut fra hvordan avviket faktisk var.
Kartleggingen består også kun av en rask gjennomgang av
hver enkelt sak. Vi kan ikke utelukke at noen detaljer kan
ha blitt mistolket eller oversett. Vi føler oss imidlertid
trygge på at disse usikkerhetsmomentene ikke endrer de
store linjene. Vi vil derimot advare mot å legge for mye i
eksakte prosentfordelinger. Det er et lavt antall saker i
datagrunnlaget. En sak kan alene være nok til å endre
prosentandelen.
Forsiktighet med allmenngyldige konklusjoner At Datatilsynet trolig kun mottar en liten andel av de
meldinger det burde fått, har konsekvenser for hvilke
slutninger vi kan trekke om avvik i virksomheter generelt.
Tallene som følger må leses som en beskrivelse av hvor
avvik faktisk har skjedd og hvor man også har meldt ifra.
Vi kan ikke se tallene som uttrykk for hvor og hvordan
informasjonssikkerhetsavvik skjer totalt sett. Eksempelvis
kan vi ikke trekke en slutning om at en bransje som står
for en femtedel av avviksmeldingene også står for en
femtedel av den totale mengde avvikene som skulle vært
meldt. En annen fortolkning vi må advare mot er å se
mange meldinger, enten fra en enkeltvirksomhet eller
bransje, som en god indikator på noens status som
7
versting. At det sendes mange meldinger kan ofte være
uttrykk for noe stikk motsatt: Bransjen/virksomheten er
flink til å oppdage avvik og har tilstrekkelige rutiner og
regelverkskunnskap til å sørge for at melding blir sendt. Vi
merker oss også at mange brev er sendt fra
personvernombud, noe kun en liten andel norske
virksomheter har.
Et interessant aspekt ved tallene er lett å overse: Hvem er det vi ikke får avviksmeldinger fra? Få eller ingen avviksmeldinger er etter vårt syn en bedre indikator på at noe er galt, enn at det kommer mange meldinger.
8
Hvem melder avvik til Datatilsynet?
Dette delkapittelet er viet hvilke aktører som sender
Datatilsynet avviksmeldinger og hvor avviket har skjedd.
Sektor Vi har kartlagt om avviksmeldingene kommer fra privat
sektor, offentlig sektor eller den såkalte tredje sektor. Med
tredje sektor mener vi forskjellige private foreninger, lag,
stiftelser med videre, som ikke har et kommersielt
siktemål. Eksempler på dette er idrettslag, trossamfunn,
ideologiske eller politiske organisasjoner, humanitære
organisasjoner og diverse friville organisasjoner. Nedenfor
ser du den prosentfordelingen per sektor.
Datatilsynet mottok altså en del flere avviksmeldinger fra
privat enn offentlig sektor i 2014. Tredje sektor er
representert, men tallet er lavt. Det er grunn til å spørre
seg hvorfor det meldes så få avvik fra tredje sektor, som i
mange tilfeller har en del personopplysninger – ikke minst
om sine medlemmer. Prosentandelen på tre tilsvarer fire
saker. Av disse er to fra religiøse organisasjoner, en fra en
fagforening og en fra et kompetanseforum.
Bransjer som ofte melder avvik Nedenfor ser du de bransjene som har en tosifret
prosentandel av avviksmeldingene til Datatilsynet i 2014.
Dem er det bare fem av.
2 Her rommer ett saksnummer i vårt arkiv beskrivelser av en rekke forskjellige avvikshendelser. Dette er et eksempel på en sak som er delt i flere forskjellige avvik eller kategorier av avvik med samme kjennetegn (se metodekapittelet).
Bank, finans og forsikring står samlet for mer enn halvpart
av alle avvik meldt fra private aktører, hele 35 prosent av
alle avvikene i datagrunnlaget.
Innenfor offentlig sektor kommer mange av
avviksmeldingene fra helse- og omsorgsvirksomheter, med
11 prosent (private helseaktører er holdt utenfor).
Kommunal sektor følger tett på med 10 prosent av alle
meldinger.
Det er mange avvik meldt i sammenheng med helse og
omsorg. Dersom en legger sammen privat og offentlig
helse og omsorg (søylen ovenfor viser bare offentlig), står
disse for totalt 17 prosent av avvikene. Tallet kunne vært
noe høyere om også kommunale helsetjenester, samt
helserelatert forskning hos rene forskningsinstitusjoner
var tatt med.
At direktorat, tilsyn og ombud kommer så høyt kan
fremstå som overraskende. Det er kun tre aktører bak
meldingene, hvorav to av disse kun har meldt om ett avvik.
De resterende2 kommer fra Nav, som håndterer enorme
mengder personopplysninger og forsendelser.
Privat sektor56 %
Offentlig sektor41 %
Tredje sektor
3 %Sektor
10%
11%
11%
12%
23%
0% 5% 10% 15% 20% 25%
Direktorat, tilsyn, ombud
Kommune/fylkeskommune/
interkommunale selskaper
Helse og omsorg - Offentlig
Forsikring
Bank og finans
Bransjer som oftest melder avvik
9
Bransjer Nedenfor ser du fordelingen av avvikssaker på alle
bransjene vi brukte i kartleggingen3.
Bransje Antall Prosent
Kommune/ fylkeskommune/
interkommunale selskaper
13 11 %
Departementer 0 0 %
Direktorater, tilsyn, ombud 12 10 %
Andre statlige 6 5 %
Helse og omsorg - Offentlig 13 11 %
Helse og omsorg - Privat 7 6 %
Bank og finans 28 23 %
Forsikring 14 12 %
Handel og service 4 3 %
E-handel 1 1 %
Nettjenester (ikke handel) 0 0 %
Inkasso 2 2 %
Konsulentbransje 1 1 %
Sikkerhetsselskap 1 1 %
Kredittopplysningsvirksomhet 2 2 %
Tele- og internettilbydere 3 3 %
Posttjenester 0 0 %
Transport 0 0 %
Industri 2 2 %
3 Enkelte tjenesteområder/virksomheter kunne hørt hjemme under flere bransjer. Vi gjør derfor oppmerksom på følgende:
Bransjen Kommune/fylkeskommune og interkommunale selskaper inkluderer den offentlige grunnskolen og videregående skoler, samt kommunale helse- og omsorgstjenester.
Primærnæring 0 0 %
Private barnehager, grunnskole og
videregående
0 0 %
Høyere utdanning (offentlig og privat) 4 3 %
Forskning 2 2 %
Media 1 1 %
Fagforening, arbeidsgiverforening 1 1 %
Idrett 0 0 %
Ideelle og humanitære organisasjoner 0 0 %
Politiske organisasjoner 0 0 %
Trossamfunn/ livssyn 2 2 %
Andre foreninger/lag/stiftelser 1 1 %
Det er hele ni bransjer vi ikke har mottatt avviksmeldinger
fra, herunder departementer, private barnehager og
private skoler, samt ideelle eller humanitære
organisasjoner.
Hos den ansvarlige virksomheten eller hos databehandleren? Plikten til å sende avviksmelding faller på den
virksomheten som er ansvarlig etter
personvernregelverket. Avviket skjer imidlertid ikke alltid
i den ansvarlige virksomheten selv. I kartleggingen har vi
søkt å ta stilling til om feilen har skjedd i virksomheten
selv, eller hos en annen part som gjør en jobb for den
ansvarlige virksomheten (og som inkluderer bruk av
personopplysninger). I personvernregelverket kalles den
ansvarlige virksomheten for behandlingsansvarlig. Parten
som gjør oppgaver på vegne av den ansvarlige
virksomheten kalles databehandler4. Både
behandlingsansvarlig og databehandler har plikt til å ha
god nok informasjonssikkerhet.
Under kategorien Forskning står kun forsknings- og registervirksomheter. Universiteter og helseforetak, som også driver men omfattende forskningsvirksomhet, er ført under Høyere utdanning og Helse og omsorg – Offentlig. Enkelte av avvikene her er forskningsrelaterte.
4 De to begrepene defineres i personopplysningslovens § 2 nr. 4 og 5.
10
I 15 prosent av sakene har avviket skjedd hos
databehandleren, de resterende skjedde i den
behandlingsansvarlige virksomheten.
Hvem informerer Datatilsynet? Avviksmelding, eller en type forvarsel om avviksmelding,
er nesten alltid første dokument i avvikssakene.
Meldingene er sendt fra behandlingsansvarlig virksomhet.
Det gjelder også i saker hvor feilen har skjedd hos
databehandleren. (I disse sakene legges det ofte ved
beskrivelser fra databehandleren.) I mange tilfeller går det
frem at det har vært kontakt med Datatilsynet på forkant,
gjerne på telefon.
Kun i en av 20 avvikssaker er første dokument noe annet
enn avviksmelding fra bedriften. Tre saker ble innledet av
informasjon fra mottakerne av personopplysningene. To
saker ble innledet av tips fra publikum eller informasjon
fra andre virksomheter. En sak ble igangsatt ved at
Datatilsynet skrev til virksomheten med etterlysning av
avviksmelding som følge av beskrivelser i media.
11
Slik gikk det galt
I kartleggingen har vi kategorisert avvikene etter hva som
gikk galt. Vi laget 25 kategorier, og vi fant en eller flere
avvikssaker på de fleste av disse. Nedenfor ser du en
oversikt over prosentfordelingen på forskjellige typer feil.
Vi har slått sammen noen underkategorier til
hovedkategorier, og vi holder utenfor kategorier som vi
ikke fant avvik på i 2014-sakene.
Kategori Antall Prosentandel
Forsendelsesfeil - digitale og analoge 57 48 %
Hacking/datainnbrudd 12 10 %
Snoking 9 8 %
Tilgangsstyring feilet, mangelfull eller manglet 7 6 %
Nettpublisering 6 5 %
Personopplysninger bevisst utlevert (ikke rettslig adgang til det) 4 3 %
Fysisk innbrudd - digitale eller analoge data forsvunnet 3 3 %
Avhending uten sletting/ makulering 2 2 %
Mistet/gjenglemt/forlagt (analogt og digitalt) 1 1 %
Andre avvik 19 16 %
Nedenfor kommenterer vi den enkelte kategori i korthet.
Forsendelsesfeil, som nesten utgjør halvparten av
avviksmeldingene, behandles mer utfyllende til sist.
Hacking eller datainnbrudd Hacking eller datainnbrudd er den største kategorien etter
forsendelsesfeil. Drøyt halvparten av disse kommer fra
norske virksomheter og omhandler forskjellige hendelser.
De resterende meldingene kommer fra forskjellige private,
amerikanske aktører, men grunntrekkene her er ganske
like: Bedriften har oppdaget et
informasjonssikkerhetsbrudd som har, eller som kan ha
omfattet norske kunder. Tap av kredittkortinformasjon
står sentralt. Disse varslene var ikke nødvendige etter
norsk lov da virksomhetene ikke var etablert i Norge.
Snoking Kategorien snoking er en av de største. Alle disse sakene
handlet om snoking utført av virksomhetens egne ansatte.
Noen virksomheter gir også tilgang til enkelte eksterne
aktører. Vi hadde derfor også en kategori for snoking
utført av eksterne, men dette fant vi ingen eksempler på i
2014.
De totalt 9 meldingene om snoking viser noe
oppsiktsvekkende: De er ikke spredt over mange bransjer,
og de kommer kun fra fire virksomheter – to banker, ett
helseforetak og ett kredittopplysningsbyrå. At meldingen
kommer fra helse og bank er ikke uventet. Kunden eller
pasienten har her rett til informasjon om oppslag på seg.
Det er det nok mange grunner til at Datatilsynet kun fikk
meldinger fra fire virksomheter. Deler av forklaringen
ligger antagelig i at mye snoking aldri blir oppdaget. Få
virksomheter har gode systemer for å oppdage snoking
eller avklare om oppslagene er snoking. En annen
medvirkende årsak til det lave tallet er at snoking kan
forstås som et avvik uten meldeplikt. Spørsmålet er om
snoking skal forstås som en «utlevering» i regelverkets
forstand av begrepet.
Tilgangsstyring feilet, mangelfull eller manglet Kategorien av tilgangsstyringsfeil representerer ganske
forskjellige avvik med den fellesnevner at noen – i de
fleste tilfeller uintendert – har fått en tilgang til
personopplysninger de ikke skulle hatt. Eksempler fra
2014 er at en elev logger seg inn på en læringsplattform,
men får tilgang til en annen brukers data, at en offentlig
myndighet har gitt en annen offentlig myndighet løpende
tilgang til data de ikke skulle hatt annet enn i enkeltsaker,
og at det på en kommunes nettside har vært mulig for de
mer datakyndige å hente ut saksdokumenter med
personopplysninger. Noen av sakene representerer ganske
finurlige, tekniske feil.
Internettpublisering Internettpublisering er utgangspunktet for avvikene i fem
prosent av sakene. Meldingene kommer nesten
utelukkende fra offentlige aktører som kommune, høyere
utdanning og statlig forvaltning. (Det var ett unntak fra
dette, et trossamfunn hvor konfirmantopplysninger
uintendert ble tilgjengelig på internett.) Flesteparten ser
ut til å stå i sammenheng med et ønske om, eller en plikt
til å offentliggjøre informasjon, saker eller dokumenter.
Avvikssakene handler eksempelvis om manglende
sladding av dokumentinnhold eller navn på offentlig
journal. I alle de seks sakene var enten sensitive
personopplysninger inkludert, eller opplysningene var
følsomme med hensyn til art eller mengde. Eksempelvis
har fullt navn på en student fremkommet på offentlig
journal i en sak om mistanke om eksamensjuks. Et annet
eksempel er publisering av saker om erstatning til ofre,
hvor personidentifiserende informasjon ikke ble
12
tilstrekkelig fjernet/sladdet. I halvparten av sakene har
fødselsnummer også blitt eksponert.
Personopplysninger bevisst utlevert Avvikene denne rapporten omhandler er stort sett uttrykk
for uhell, for menneskelige eller tekniske feil. Slike feil kan
være forårsaket av manglende bevissthet vedrørende
sikkerhet, svake rutiner eller dårlige tekniske løsninger,
men det er uansett hendelser som ikke er blitt forårsaket
med vilje. Dette er likevel ikke alltid tilfellet. Blant 2014-
sakene finnes det fire tilfeller hvor personopplysninger
bevisst ble utlevert, i hvert fall av en enkelt medarbeider.
Virksomheten kom i ettertid til, eller oppdaget i ettertid, at
det ikke skulle ha skjedd. Det er en overraskende
fellesnevner for disse fire sakene: De handler om register-
eller forskningsdata. Alle fire meldinger er sendt fra
offentlige virksomheter som universitet, helseforetak og
registre/ forskningsinstitusjoner. To av disse handler om
en urettmessig deling eller videreformidling av forsknings-
eller registerdata. En sak handlet om en utlevering av
registerdata som i ettertid viste seg å ha skjedd på et
sviktende beslutningsgrunnlag. Den siste handler om et
forskningsprosjekt som måtte avsluttes, og hvor prosjektet
hadde utlevert personopplysninger til personer som ikke
var ansatt i helseforetaket, og hvor disse heller ikke hadde
undertegnet nødvendig taushetserklæring.
Fysisk innbrudd - digitale eller analoge data forsvunnet Tre saker handler om fysiske innbrudd i lokaler eller
kjøretøy, og hvor personopplysninger er kommet på
avveier som følge av tyveriet. I det ene tilfellet handlet det
om analog informasjon – en notatbok som inneholdt
kundeinformasjon forsvant i sammenheng med et
bilinnbrudd. De to andre sakene handler om innbrudd i
lokaler hvor datautstyr ble stjålet, i det ene tilfellet en safe
hvor en back up av et legekontors journaler befant seg.
Avhending uten sletting/makulering To av sakene dreier seg om avhending uten at
personopplysninger først ble slettet eller ødelagt. I det ene
tilfellet ble laptoper levert til avfallshåndtering. Disse
inneholdt fortsatt harddisker med svært
beskyttelsesverdige personopplysninger som
elevvurderinger og individuelle planer. Den andre saken
handler om deler av et papirarkiv som skulle makuleres,
men hvor rengjøringspersonalet trodde papirene skulle
kastes i vanlig papirgjenvinning.
Mistet/gjenglemt/forlagt Kategorien mistet/gjenglemt/forlagt består av tre
underkategorier: Analog informasjon, laptop/nettbrett og
liknende, og til sist; minnepinner eller andre små digitale
lagringsmedier. Vi fikk altså bare en melding om dette i
2014. Henvendelsen kom fra et helseforetak som meldte
om at medarbeidere glemte pasientinformasjon i
arbeidstøyet, som senere gikk til vaskeriet.
Andre avvik I samlekategorien andre avvik har vi plassert de sakene
som ikke lett passer de mer spesifikke kategoriene.
Samlekategorien omfatter 19 saker uten noen spesielle
fellestrekk. En betydelig andel av disse ligger også et
grenseland med hensyn til meldeplikt. Vi gir her noen
eksempler fra kategorien:
Omtrent en håndfull av sakene handler egentlig om ett
avvik som rammet flere virksomheter i helsesektoren.
Disse benyttet seg av samme databehandler. En teknisk
feil i databehandlerens uthentingsmekanisme førte til at
enkelte pasienters fødselsnummer fulgte med i tillegg til
den informasjon som skulle hentes ut, og som ikke skulle
være personidentifiserende.
En av de mer spesielle avvikssakene ble igangsatt av et
tips. Tipseren hadde oppdaget at en offentlig myndighets
trafikkovervåkingskamera ved svenskegrensen (med
automatisk nummerskiltgjenkjenning) lå åpent tilgjengelig
over nett for dem med litt datatekniske ferdigheter.
Andre eksempler fra kategorien er et knippe meldinger fra
en kommune om oppdagelse av uautoriserte trådløse nett,
herunder på to skoler, som muligens kan ha gitt
uvedkommende tilgang til internt nett. En annen sak
omhandlet en teleoperatørs melding om at noen kunders
IP-telefoni-numre var tilgjengelig i nettleseren dersom
noen gjorde oppslag mot ruterens IP-adresse. Et annet
eksempel er en bedrifts utlevering av fortrolig adresse
grunnet en feil i oppdatering av informasjon.
Forsendelsesfeil Med sine 48 prosent utgjør forskjellige forsendelsesfeil –
analoge og digitale – den største gruppen av avvik. I
kartleggingen laget vi ti forskjellige typer feil med basis i
tidligere erfaringer. I 2014 fikk vi en eller flere meldinger
for syv av disse. Nedenfor vises antall saker, inkludert de
kategoriene vi ikke fant eksempler på i 2014-sakene.
13
Når det gjelder digitale forsendelser, er det i praksis e-post
vi får meldinger om. Uavhengig av om det er brev eller e-
post, er de to største kategoriene egentlig de samme:
Det sendes til gal mottaker, typisk at en mottaker
får et brev som var ment for en annen.
Det var meningen å sende til mottakeren, men
innholdet er på en eller annen måte galt, eller det
er for mye innhold. Typiske eksempler er at en
mottaker får et brev sammen med hele eller deler
av et brev som var ment for en annen. Av og til
har tekniske prosesser feilet, eksempelvis at et
brev går til riktig person, men at deler av
innholdet som automatisk er flettet inn, tilhører
en annen. Deler av den kategorien handler også
om vedlegg til e-post, hvor avsender ikke har vært
tilstrekkelig bevisst på hvor mye informasjon som
ligger i vedlegget, eller om det også inneholdt
opplysninger om andre.
46 av 57 saker handlet om de to kategoriene ovenfor,
forholdvis jevnt fordelt mellom e-post og brev.
Avsløring av andres e-postadresser, som vi fant fem
eksempler på, skjer typisk i forbindelse med
masseutsendelser. Listen over de som skal motta e-posten
burde vært satt i blindkopi. I stedet er listen satt i til-feltet,
slik at alle kan se hvem andre som har mottatt e-posten.
Med mindre noen har behov for konfidensialitet om
kontaktopplysninger, er selve eksponeringen av e-
postadressen ikke et stort problem. Problemet er gjerne at
mottakerlisten indirekte eksponerer et klient- eller
kundeforhold. Det finnes en åpenbar fellesnevner for alle
mottakerne, kanskje også en temmelig følsom
fellesnevner, for eksempel at mottakerne er personer med
en spesiell helseproblematikk, eller at e-posten er rettet til
arbeidsledige. Et tilleggsmoment ved denne type avvik er
at det ofte er mange mottakere. Avvikene har også noen
andre fellestrekk: Utgangspunktet er en menneskelig feil.
Antallet berørte og antallet mottakere er gjennomgående
høyt (hovedsakelig mellom 100 og 5000), og mottakerne
er privatpersoner. Dette gjør skadereduserende tiltak
vanskeligere, og det er vanskelig å få bekreftet sletting.
En type forsendelsesfeil å merke seg er postforsendelser
som inneholder digitale lagringsmedier, for eksempel
minnepinner. Vi fikk i 2014 melding om fire forsvunne
minnepinner. Selve konvolutten – i skadet form riktignok
– kom gjerne frem, men uten innhold. Avviket ble ofte
oppdaget ved at mottaker meldte fra til avsender. I alle
fire saker inneholdt lagringsmediet sensitive
personopplysninger, og i tre av firer saker hadde
lagringsmediet informasjon om et høyt antall mennesker.
Flesteparten av minnepinnene var imidlertid beskyttet. To
var kryptert og en var beskyttet med passord. Samtlige
meldinger kom fra statlige virksomheter, og forsendelsene
var sendt mellom virksomheter. Vi fikk ingen meldinger
om at papirer hadde forsvunnet i løpet av postgangen.
En annen typisk forsendelsesfeil er at fødselsnummeret er
synlig fra utsiden av konvolutten. Fødselsnummeret kan
stå på selve brevet, men likevel være synlig gjennom
konvoluttens plastvindu for navn og adresse.
At vi ikke fikk noen avviksmeldinger om telefaks i 2014
betyr neppe at det var et feilfritt år. Det kan imidlertid
bære bud om at typen feil, som tidligere har vært mye av,
nå er på hell.
9
5
12
13
12
2
0
0
4
0
0 5 10 15
Digital forsendelse - feilmottaker
Digital forsendelse -avsløring av andres e-
postadresse
Digital forsendelse - galtinnhold/ for mye innhold
Postal forsendelse - feilmottaker
Postal forsendelse - galtinnhold/ for mye innhold
Postal forsendelse -Fødselsnummer synlig
Postal forsendelse - annenskjermingsverdig info
synlig
Postal forsendelse - analoginfo forsvunnet, revet,
eksponert
Postal forsendelse - digitaltmedium forsvunnet(minnepinne/CD)
Annen feilforsendelse,eksempelvis telefaks
Forsendelsesfeil -antall
14
Generelt om forsendelsesfeil Blant de forskjellige forsendelsesfeilene er det en overvekt
av analoge informasjonsmedier og sendemåter (papirbrev
og post) i forhold til digitale.
Forsendelsesfeilene forårsakes både av menneskelige og av
tekniske feil. Feilene knyttet til e-post er i all hovedsak
menneskelige feil. For avvik knyttet til brev er det mer
variabelt hva som er årsaken. Flesteparten av avvikene har
vi imidlertid tolket som menneskelige feil. Av og til ser vi
også at årsaken til feilen er blandet: Eksempelvis har det
skjedd en teknisk feil som har ført til feil pakking eller feil i
selve innholdet i brevene. Ofte burde dette vært oppdaget
gjennom kontrollrutiner utført av mennesker.
Kontrollrutinen har i disse tilfellene manglet, feilet eller er
ikke blitt gjennomført.
Omtrent to tredjedeler av avviksmeldingene kommer fra
privat sektor (37 av 57), hovedsakelig fra
forsikringsselskaper eller bank- og finanssektoren. En
tredjedel kom fra offentlig sektor (19 av totalt 57). Kun en
melding kom fra tredje sektor.
Oftere interne glipper og feil enn innbrudd og hacking Et interessant tema er hva sakene forteller oss om avvik
som resultat av indre eller ytre trusler.
De tidligere presenterte kategoriene av avvik lar seg dele
opp etter om avviket primært er forårsaket av en ekstern
part eller om årsaken primært er intern, eksempelvis egne
ansatte eller egne systemer. Feil som har skjedd hos en
databehandler regner vi også som intern. Å bruke en
databehandler er et valg, og databehandleren skal også
være instruert av den ansvarlige virksomheten gjennom
avtale.
Kategoriene hacking/datainnbrudd og fysisk innbrudd
faller klart innenfor primært eksterne årsaker. De
resterende kategoriene må forstås som interne årsaker. To
kategorier har vi ikke plassert. Det gjelder kategoriene
«andre avvik», samt forsendelsesfeil hvor minnepinne
eller liknende har forsvunnet i postgangen. (Dette kan
dreie seg om stjeling eller om dårlige konvolutter, men når
man har valgt denne forsendelsesmåten må begge disse
årsakene kunne forstås som en akseptert risiko.)
Ikke uventet er det de interne årsakene som dominerer
statikken:
Tallene viser at avviksmeldingene i de fleste tilfeller
handler om forhold bedriften har styring over: Det dreier
seg om egne ansatte, egne IT-systemer og bedriftenes egne
rutiner og valg, herunder parter bedriften har valgt til å
behandle personopplysninger på deres vegne. Ondsinnede
handlinger fra eksterne aktører er en viktig del av bildet,
men utgjør tross alt bare en liten del av det totale antallet
avviksmeldinger.
Hvor var personopplysningene lagret da de kom på avveier? I kartleggingen har vi kategorisert avvikene ut fra hvilket
lagringsmedium personopplysningene var på da de kom
på avveier, eventuelt om avviket står i sammenheng med
nettpublisering eller en digital kommunikasjonskanal som
e-post. Nedenfor ser du fordelingen vi fant:
s
46 %
54 %
Forsendelsesfeil
Digitale Analoge, inkl minnepinne i post
Intern85 %
Ekstern15 %
Primær årsak
15
De tre store kategoriene ligger mellom 23 og 34 prosent.
E-post og papirer viser i hovedsak til den tidligere
kommenterte avvikskategorien forsendelsesfeil. Med
hensyn til papirer finnes et knippe avvik som ikke handler
om forsendelser, men om stjeling, manglede makulering
og gjenglemte notater og papirer.
Hver for seg viser e-post- og papirandelen noe viktig:
Det skjer ofte feil knyttet til e-post, og bedrifter
gjør klokt i å ha gode rutiner og et høyt
bevissthetsnivå på dette feltet, samt vurdere tiltak
for å begrense e-post som forsendelseskanal for
personopplysninger.
I en stadig mer digitalisert hverdag er det viktig å
merke seg andelen uautoriserte utleveringer i
analog form. Andelen er høy. De analoge
utfordringene er slett ikke historie og må ikke
glemmes.
I mange av avvikssakene var opplysningen som kom på
avveier, lagret på noe du ikke kan sende i en konvolutt
eller enkelt ta med deg i en lomme eller under armen.
Opplysningene befant seg på virksomhetens servere –
egne eller databehandlers – skylagring inkludert. I mange
tilfeller var opplysningen også å finne i virksomhetens IT-
systemer for kunder eller klienter. Dette er den største
kategorien i figuren over. Det handler eksempelvis om
ansattes snoking i kontohaveres transaksjoner, pasienters
journaler, hacking fra ukjente aktører hvor
personopplysninger blir hentet ut, at tilgangsstyringen har
hatt en teknisk feil, eller at det er gitt tilganger som ikke
burde vært gitt. Mange av avvikssakene plassert i
samlekategorien «Andre avvik» handler også om
personopplysninger lagret på servere eller i skyen.
I åtte prosent av sakene var det interessante ikke så mye
hvor opplysningene opprinnelig var lagret, men at de ble
tilgjengeliggjort på Internett. Disse var enten blitt
publisert på nett, eller var uintendert gjort åpent
tilgjengelig på Internett.
I tillegg til det nevnte, finner vi avvikssaker vedrørende
stasjonære datamaskiner, bærbare datamaskiner og små
lagringsmedier som minnepinner. I 2014 fikk vi kun
avviksmeldinger om minnepinner i tilknytning til
forsendelser. Fra tidligere er vi kjent med andre
hendelsesforløp, for eksempel at en medarbeider mister
eller glemmer igjen en minnepinne.
I 2014 fikk vi ingen saker om små håndholdte enhet som
PDA-er, nettbrett eller smarttelefoner.
Papir og annet analogt28 %
Minnepinne, CD og andre små digitale
lagringsmedium5 %
Smarttelefon, PDA, nettbrett (små
håndholdte digitale)0 %
Laptop og liknende 1 %
Stasjonære datamaskiner1 %
Server, større IT-systemer og skylagring
34 %
E-post og annen digital forsendelse
23 %
Nettpublisering/ åpent på nett
8 %
Primært lagringsmedium/ teknologi i avviket
16
Antall berørte, spredning og konfidensialitetsbehov
Vi har søkt å kartlegge hvor mange personer som er berørt
i hver avvikssak, det vil si hvor mange personer som er
blitt rammet av at deres personopplysninger er blitt
utlevert. Vi har også søkt å få oversikt over hvor mange
som feilaktig har mottatt eller tilegnet seg
personopplysningene. Dette må forstås som den
umiddelbare spredningen. En eventuell påfølgende
spredning er ikke tatt med, og er også umulig å ta stilling
til. I dette kapittelet vil vi videre belyse hvem som mottok
opplysningene, og hvor følsomme personopplysningene
som kom på avvei var.
Det har dels har vært vanskelig å lage tall om dette temaet.
Vi har brukt svaralternativer som gjør at man slipper å vite
eksakt antall for å kunne plassere. Likevel har det vært
vanskelig å ta stilling i mange saker. I mange tilfeller er
dette lite konkret beskrevet i sakene, og i noen tilfeller
kjente virksomheten selv ikke det eksakte antallet. Vi har
så langt som mulig søkt å plassere i tallkategorier, også
med basis i hva som fremstår som sannsynlig ut fra
sammenhengen. I en del tilfeller har det imidlertid ikke
vært mulig. Av den grunn finnes alternativene Uvisst –
trolig mindre enn 100 og Uvisst – trolig mer enn 100.
Leseren bør derfor ikke legge for mye inn i de eksakte
prosentfordelingene, men mest merke seg trendene.
Også med hensyn til hvor følsomme de utleverte
personopplysningene var, har det dels vært vanskelig å
plassere enkelte saker. Også her har vi måttet basere oss
på antagelser med utgangspunkt i hva som virker rimelig
og sannsynlig. Vi mener likevel at oversiktsbildet som gis
er til å stole på.
Berørte og mottakere Diagrammet under viser andel saker etter hvor mange
som ble berørt. Deretter følger diagrammet som viser
andel saker etter antall mottagere av opplysninger de ikke
skulle hatt.5 Med mottaker mener vi både de som
uforskyldt mottok personopplysninger om en annen
person, og de som tilegnet seg personopplysninger
gjennom en aktiv handling.
5 Vi gjør her oppmerksom på at antall berørte og mottakere tilsvarer involvert i hver sak/ avvikshendelse. Det får enkelte avvikssaker til å fremstå med en mer kritisk spredning enn de egentlig hadde. Eksempelvis har en bedrift sendt 500 brev hvor hvert brev blir sendt til feil person. Det betyr 500 berørte og 500
Diagrammene viser et ganske likt mønster. Søylene er
høyest på diagrammets venstre side (lave tallkategorier).
Andelen stiger igjen på diagrammet høyre siden med
svaralternativene hvor det er uvisst hvor mange
berørte/mottakere det var.
Det vanligste er én berørt og én mottaker. Grafene viser
ikke uventet at de høyere tallkategoriene er mer vanlig
med hensyn til berørte enn mottakere. I godt over
halvparten av sakene (56 prosent) var antallet mottakere
mellom 1 og 10. Til sammenlikning var det mellom 1 og 99
berørte i godt over halvparten av sakene (57 prosent)6.
mottakere, men hver berørte person har kun fått sine personopplysninger utlevert til en person.
6 Svaralternativet Uvisst – trolig mindre enn 100 er ikke tatt med.
26%
18%
13%
9%
1%
8%
2% 1% 1%
13%11%
0%
5%
10%
15%
20%
25%
30%
1 p
erso
n
2 -
10
11
- 9
9
10
0 -
49
9
50
0 -
99
9
1 0
00
- 4
99
9
5 0
00
- 9
9 9
99
10
0 0
00
- 9
99
99
9
1 0
00
00
0 -
5 0
00
00
0
Uv
isst
- t
roli
g m
ind
re e
nn
10
0
Uv
isst
- t
roli
g m
er e
nn
10
0
Sa
ke
r
Berørte
Antall berørte i sakene
17
Diagrammet under viser hvem personopplysningene
havner hos. Tallene er basert på primær mottakergruppe i
hver sak. Det er altså ikke tatt hensyn til hvor mange
mottakere det er i hver sak.
Det er flest avvikssaker hvor personopplysningene havnet
hos et enkeltmenneske i egenskap av privatperson. Dette
henger tett sammen med forsendelsesfeil, hvor
eksempelvis et brev sendes til feil person.
Den nest største gruppen utleveringer havner hos en
virksomhet – dette inkluderer én spesifikk person i annen
virksomhet.
I en del saker, 11 prosent, havner personopplysningene
hos en eller flere av virksomhetens egne ansatte, som ikke
skulle hatt opplysningene. Dette handler i stor grad om
snoking, men også om ganske andre hendelser, som feil
innhold i lønns- og trekkoppgaver og svikt i
tilgangsstyring.
Totalt sett er det 23 prosent avvikssaker hvor det ikke er
klart hvem personopplysningen havnet hos. Kartleggingen
har to grupper for dette:
Gruppen Ukjent i diagrammet over (17 %)
rommer saker hvor personopplysninger har
havnet på avveier gjennom hacking eller
innbrudd. I tillegg er tap av minnepinne i
postgang satt her, som kan bety at den er stjålet
eller bare forsvunnet. Her finnes også enkelte
internettrelaterte avvik hvor det har vært mulig å
utnytte feil i løsningen, eller fraværende sikring,
til å få tilgang til opplysninger.
Gruppen Udefinerbar viser til internettrelaterte
avvik, men i form av internettpublisering
(intendert eller i vanvare) – ikke feil i løsningen
eller dårlig sikring. (Internettpublisering
innebærer noe vi godt kan kalle en utlevering til
en udefinerbar flerhet – alle og ingen.) Alminnelig
surfing eller søk på søkemotorer kan føre til at
opplysningen blir eksponert for hvem som helst.
Hvem og hvor mange som fikk opplysningene er
svært vanskelig å vite.
I et lite knippe saker (3 %) er den primære mottakeren
personen som opplysningene handler om, men
personopplysninger ble likevel eksponert for
utenforstående. Alle disse handler om eksponering av
fødselsnummer, enten synlig utenpå konvolutten eller i e-
post, noe som kan ha medført at andre kan ha tilegnet seg
fødselsnummeret.
Avvikssakene handler oftest om følsomme opplysninger For at et avvik skal være meldepliktig, må
personopplysningene kunne forstås som
beskyttelsesverdige. «… hvor konfidensialitet er
nødvendig», sier bestemmelsen. Dette representerer ingen
høy terskel. Det er altså verken nødvendig at
38%
18%
7% 7%
0%3%
0%4%
18%
7%
0%
5%
10%
15%
20%
25%
30%
35%
40%
Sa
ke
r
Mottakere
Antall mottakere i sakene
Privatperson 39%
Virksomhet25%
Udefinerbar (Internettpublisert) 6%
Personen selv 3%
Ansatt i virksomheten (snoking inkludert) 11%
Ukjent (typisk
hacking, innbrudd, tapt) 17%
Hvem fikk personopplysningene i
hende?
18
opplysningene per definisjon er sensitive7, eller spesielt
private eller følsomme. I kartleggingen har vi derfor søkt å
belyse hvor ofte, og i hvilken grad, opplysningene på
avveier er følsomme.
En åpenbart interessant informasjonstype er
fødselsnummeret (ofte kalt personnummer). Flere
tidligere undersøkelser stadfester at de fleste ønsker sitt
fødselsnummer beskyttet. Det viser seg at fødselsnummer
er blant opplysningene som ofte kommer på avveier. I litt
mer enn halvparten av sakene – 53 prosent – var
fødselsnummer involvert. Nedenfor ser du resultatet av
følgende, mer skjønnsmessige karteleggingsspørsmål8: Var
personopplysningene følsomme?
I en snau fjerdedel av avvikssakene vurderer vi at
opplysningene som er kommet på avveier ikke er
følsomme. Men som det går frem av figuren, er følsomme
opplysninger som oftest involvert. 23 prosent inneholder
opplysninger som er sensitive i personopplysninglovens
forstand, mens 34 prosent må forstås som følsomme med
hensyn til art eller mengde. I tillegg kommer kategorien
med fødselsnummer uten øvrige følsomme opplysninger,
på 20 prosent.
7 Personopplysningsloven definerer hva som regnes for sensitive personopplysninger, eksempelvis helseopplysninger, opplysninger om etnisk bakgrunn, religiøs eller politisk oppfatning og seksuelle forhold (paragraf §2 nr 8.)
8 Vi forklarer her kort hvordan vi har vurdert hva som skal settes under hvilket svaralternativ. Dersom utleveringen inkluderte sensitive personopplysninger i lovens forstand har vi valg svaralternativet Sensitive personopplysninger. Grensedragningen mellom følsomme (men altså ikke per definisjon sensitive)
At avvikssakene oftest handler om følsomme
personopplysninger viser noe av alvoret for både
personene det gjelder og virksomhetene det glapp for.
At uvedkommende har fått personopplysninger i hende
betyr ikke at det alltid er lett for dem å tilegne seg
informasjonen. Data kan være passordbeskyttet, kryptert,
eller at informasjonen er vanskelig å forstå eller knytte til
individer. I beste fall er det usannsynlig at uvedkommende
klarer å skaffe seg adgang. Blant avvikssakene er det
eksempler på virksomheter som hadde en ekstra sikkerhet
da det først gikk galt. Tidligere i rapporten er tap av
minnepinner i posten nevnt. To av disse var kryptert.
I mange avviksaker er en slik sikring ikke mulig eller
relevant. En ansatt som snoker har allerede tilgang til
informasjonen. Et feilsendt brev er like lesbart for
mottakeren som den som egentlig skulle fått det. Likevel
finnes det i en del tilfeller et uutnyttet potensial. Vi ser
dessverre få avvikssaker hvor de uintenderte mottakerne
står overfor store hindringer for å tilegne seg data.
og ikke følsomme personopplysninger er vanskeligst. Vi har her også sett hen til mengden opplysninger, som lett kan gjøre informasjonen mer følsom. Følgende eksempler kan illustrere vår grensedragning: En persons saldo på kontoer på et visst tidspunkt har vi ikke forstått som følsomme. Vi har derimot vurdert kontoutskrifter, som vil vise pengebruk og steder man har handlet, som følsomme med hensyn til art og mengde.
Ikke følsomme
23%
Fødselsnummer -for øvrig ikke
følsomme 20%
Følsomme med
hensyn til art eller mengde
34%
Sensitive personopplysninger
23%
Var personopplysningene
følsomme?
Besøksadresse:
Tollbugata 3, 0152 Oslo
Postadresse:
Postboks 8177 Dep., 0034
Oslo
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no