Når avvik oppstår, er rask og effektiv håndtering nødvendig. Samarbeid mellom behandlingsansvarlig og databehandler er en stor fordel i slike situasjoner og ofte en avgjørende faktor for best mulig avvikshåndtering.
I 2019 så Norge flere tilfeller av brudd på personopplysningssikkerhet. Dette omtales av Datatilsynet som avvik. Med den økende bevisstheten rundt personvern melder Datatilsynet om rekordmange avviksmeldinger etter innføringen av GDPR. Datatilsynet har laget en oversiktlig veileder for hvordan en avvikssituasjon bør håndteres og hvilke momenter som inngår i risikovurderingen som avgjør om de registrerte skal varsles.
Mindre omtalt er imidlertid det interne forholdet mellom den behandlingsansvarlige og databehandler, og hvordan disse i fellesskap bør håndtere en avvikssituasjon. Vår oppfatning er at det er i partenes felles interesse å samarbeide i undersøkelsesfasen når et avvik er avdekket, fremfor å fokusere på de interne ansvarsfordelinger etter GDPR og databehandleravtalen.
I avvikssituasjoner oppstår det en plikt for den behandlingsansvarlige til å vurdere om Datatilsynet skal varsles om avviket, og om det er nødvendig å informere de registrerte som er berørt av avviket. Det er altså den behandlingsansvarlige som har det overordnede ansvaret for overholdelse av GDPR, fatte beslutninger om varsling og iverksettelse av tiltak. Databehandleren på sin side, plikter å bistå den behandlingsansvarlige med dette, samt iverksettelse av sikkerhetstiltak og lukking av avvik.
Mindre omtalt er imidlertid det interne forholdet mellom den behandlingsansvarlige og databehandler, og hvordan disse i fellesskap bør håndtere en avvikssituasjon. Vår oppfatning er at det er i partenes felles interesse å samarbeide i undersøkelsesfasen når et avvik er avdekket, fremfor å fokusere på de interne ansvarsfordelinger etter GDPR og databehandleravtalen.
I sitt vedtak mot Oslo kommune i oktober 2019 så ikke Datatilsynet det som ansvarsbefriende for kommunen at leverandøren av skolemeldingstjenesten hadde en «betydelig del» av ansvaret for avviket i saken. Vedtaket illustrerer at det på et slikt tidspunkt i saksforholdet ikke er hensiktsmessig for partene å diskutere hvem som har skyld i avviket. Partene bør heller rette oppmerksomheten mot å varsle, iverksette tiltak og tette sikkerhetshullene som er avdekket.
Behandlingsansvarlig og databehandler har som regel sammenfallende interesser når en avvikssituasjon oppstår. Begge parter har stor interesse av at avviket lukkes så snart som mulig og at skadeomfanget begrenses så mye som mulig. Ofte vil det være databehandleren som står nærmest til å kunne undersøke bakgrunnen for avviket, iverksette tiltak og utbedre tekniske feil.
Avviksmeldingen skal inneholde en riktig og konkret beskrivelse av de faktiske forholdene i saken – avviket som har oppstått, tiltakene som er iverksatt og hvilke konsekvenser avviket har for de registrerte. Partene har derfor en felles interesse i å opplyse saken på best mulig måte. Erfaringsmessig kan håndtering av avvik føre til en tilspisset situasjon mellom behandlingsansvarlig og databehandler. Partene ønsker å bedyre sin egen uskyld – særlig overfor Datatilsynet. Mange faller for fristelsen av å beskrive hvorfor den andre parten har skylden for avviket. Avviksmeldingen skal belyse faktum i saken i størst mulig grad, og ikke inneholde partenes prosedyre på ansvarsforhold.
Vår erfaring viser at en effektiv og ryddig prosess hvor partene samarbeider, vil resultere i bedre informasjon til Datatilsynet, raskere avklaringer og utbedringer, og reduserte kostnader for feilsøking. I motsetning til kontraktsrettslig ansvarsfordeling, er tiden et avgjørende element ved lukking av avvik. Rask respons og iverksetting av tiltak vil også typisk være formildende momenter som inngår i Datatilsynets vurderinger om eventuelle sanksjoner.
Behovet for samarbeid i avvikssituasjoner stopper ikke ved at Datatilsynet er varslet. Det er en kontinuerlig prosess å ivareta personopplysningssikkerheten, og det er nødvendig å arbeide med å gjenoppbygge tillit til de registrerte og andre som er avhengig av korrekte og tilgjengelige opplysninger. Med løpende samarbeid og kommunikasjon mellom behandlingsansvarlig og databehandler oppnås dette på en mer effektiv måte. De registrerte må kunne forvente at behandlingsansvarlig ivaretar deres personvern, og gjennom handling viser de registrerte at personvernet tas på alvor. Partenes samarbeid om å varsle de registrerte vil også kunne være avgjørende for hvordan de registrerte opplever et avvik, og for hvordan den behandlingsansvarlig skal ivareta de registrerte etter en varsling.
Forfattere: Thor Beke, Aina Eide Haukås