Hvem har skylden for datainnbruddet?

I sommer ble de to politiske partiene SV og MDG utsatt for hacking. Begge episodene ble anmeldt, og det viste seg at samme person som sto bak. Saken er nå under etterforskning hos politiet i Oslo, og det er ikke unaturlig å tenke seg at hackeren får en oppmerksomhet fra påtalemakten i etterkant. NRK har en artikkel om saken

Ifølge Personopplysningsloven er det at en person er medlem i et politisk parti en sensitiv opplysning, og det kreves dermed ekstra sikkerhet for å beskytte den informasjonen. Da SV og MDG ble hacket, sendte de, helt korrekt, en avviksmelding til Datatilsynet. Basert på avviksmeldingene valgte Datatilsynet på eget initiativ å se på sikkerheten hos disse to politiske partiene. Det Datatilsynet fant var de overhodet ikke fornøyd med. Begge partiene hadde manglende sikkerhetsrutiner og har blitt varslet om et overtredelsesgebyr på henholdsvis 50.000,- til MDG og 150.000,- til SV. Begge partier har sagt at de vil godta gebyret.

Betyr bøtene at folk vil avstå fra å angi seg selv?
– Jeg tror ikke det. Dessuten kunne de fått høyere gebyr om de ikke hadde meldt fra selv. De har en forpliktelse til det, sier Datatilsynets direktør Bjørn Erik Thon til NRK.

Med andre ord skal sikkerhetsrutinene være på plass og de skal etterleves.

Ny personvernlov gir skjerping av reglene

Sensitive personopplysninger på avveie er et økende problem. Derfor får vi også en betydelig skjerpet personvernlov i 2018 som gjør at alle som behandler sensitive personopplysninger må ta dette på høyeste alvor.

Fra mitt ståsted er det viktig å påpeke at sikkerhetsrutiner ikke kun gjelder for å beskytte dataene når disse er i bruk. Når informasjon ikke lengre er relevant å lagre, skal den slettes. Dette betyr at når datautstyr skal avhendes, må den informasjonen som er lagret gjennomgå en sikker sletting. Rutiner for sisteleddssikkerhet må også ivaretas og etterleves.

Flere reaksjoner fra Datatilsynet i vente?

To politiske partier har blitt varslet om gebyrer for manglende sikkerhet. Ansvaret ligger hos innehaveren av dataene – i dette tilfellet sekretariatet til de politiske partiene. Jeg tror det kan bli  flere og større gebyrsummer som skal betales i tiden fremover – dersom bedrifter og andre som rammes av ny personvernlov ignorerer sitt ansvar for å sikre at data ikke kommer på avveie.

Kontakt oss hvis du ønsker råd om hvordan du sikrer virksomhetens data