Et brudd på personopplysningssikkerheten skal meldes til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter at den behandlingsansvarlige ble kjent med bruddet, med mindre bruddet sannsynligvis ikke medfører en risiko for de registrertes rettigheter og friheter. Dette følger av artikkel 33 i personvernforordningen (GDPR). Er risikoen høy, skal også de berørte personene varsles etter artikkel 34. Fristen begynner å løpe når virksomheten blir kjent med bruddet – ikke når den har full oversikt over årsak og konsekvenser. Det er nettopp denne misforståelsen som har utløst gebyrer i Norge.
Denne artikkelen forklarer hva som regnes som et brudd, når det må meldes og når det kan unnlates, hvordan 72-timersfristen faktisk beregnes, når de berørte skal varsles, og hva som skjer hvis man melder for sent. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.
Hva regnes som et brudd på personopplysningssikkerheten?
Et brudd (ofte kalt «avvik») er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger. Definisjonen dekker tre typer hendelser: konfidensialitetsbrudd (uvedkommende får tilgang), integritetsbrudd (opplysninger endres utilsiktet) og tilgjengelighetsbrudd (opplysninger går tapt eller blir utilgjengelige).
I praksis omfatter dette langt mer enn hackerangrep: en e-post med personopplysninger sendt til feil mottaker, en tapt minnepinne, et ransomware-angrep som krypterer databaser, feilsendte brev, eller en feilkonfigurert tilgang som eksponerer opplysninger på nett. For å vurdere omfanget raskt trenger man oversikt over hvilke opplysninger og personer som er berørt – noe behandlingsprotokollen skal gi. Hver slik hendelse skal vurderes og loggføres, selv om den ikke nødvendigvis skal meldes. Dokumentasjonen samles i en avvikslogg, som Datatilsynet kan be om å få se.
Når må bruddet meldes til Datatilsynet?
Bruddet skal meldes med mindre det sannsynligvis ikke medfører en risiko for de registrertes rettigheter og friheter. Terskelen er lav: er man i tvil, skal man som hovedregel melde. Vurderingen tar hensyn til type opplysninger (er de sensitive?), omfang (hvor mange er berørt?), hvor lett personene kan identifiseres, og mulige konsekvenser som identitetstyveri, økonomisk tap eller omdømmetap. Datatilsynet tilbyr et elektronisk skjema for melding.
Er kravene til melding oppfylt, men meldingen ikke kan gis innen 72 timer, kan den etter artikkel 33 nr. 4 gis trinnvis: en foreløpig melding først, med utfyllende opplysninger etter hvert. Det er langt bedre å sende en foreløpig melding i tide enn å vente på fullstendig oversikt.
Hvordan beregnes 72-timersfristen?
Fristen løper fra det tidspunktet den behandlingsansvarlige med rimelig sikkerhet kan konstatere at et sikkerhetsbrudd har funnet sted – ikke fra det tidspunktet årsaken er kartlagt. Dette er kjernen i Argon-saken, som er den viktigste norske avgjørelsen om fristen. Datatilsynet ila i mars 2023 den amerikanske virksomheten Argon Medical Devices et overtredelsesgebyr på 2,5 millioner kroner for å ha meldt et brudd for sent. Virksomheten oppdaget i juli 2021 et sikkerhetsbrudd som rammet personopplysningene til alle europeiske ansatte, men meldte det først i september 2021 – langt utenfor fristen. Argon mente de kunne vente til de hadde full oversikt. Datatilsynet slo fast at fristen begynner å løpe når man blir kjent med bruddet, ikke når etterforskningen er ferdig. Personvernnemnda opprettholdt gebyret i 2025, men reduserte det til 1,5 millioner kroner på grunn av lang saksbehandlingstid.
Hva må meldingen inneholde?
Artikkel 33 nr. 3 krever at meldingen som et minimum beskriver:
- Arten av bruddet, herunder kategoriene og omtrentlig antall berørte registrerte og opplysninger.
- Kontaktopplysninger til personvernombudet eller annet kontaktpunkt.
- De sannsynlige konsekvensene av bruddet.
- De tiltakene som er truffet eller foreslått for å håndtere bruddet og begrense skadevirkningene.
Når skal de berørte personene varsles?
Når bruddet sannsynligvis vil medføre høy risiko for de registrertes rettigheter og friheter, skal de berørte varsles uten ugrunnet opphold etter artikkel 34. Varselet skal være forståelig, beskrive bruddets art og gi konkrete råd om hva den enkelte kan gjøre – for eksempel bytte passord eller være oppmerksom på svindelforsøk.
God lagringsbegrensning reduserer også konsekvensene: opplysninger virksomheten allerede har slettet, kan ikke komme på avveie i et brudd. Varsling til de berørte kan unnlates i tre tilfeller: hvis opplysningene var beskyttet med tiltak som gjør dem uforståelige for uvedkommende (typisk sterk kryptering), hvis det er truffet tiltak som gjør at den høye risikoen sannsynligvis ikke lenger vil materialisere seg, eller hvis individuell varsling ville kreve uforholdsmessig innsats – da kan man i stedet informere offentlig. I saken mot Østre Toten kommune, der Datatilsynet ila et gebyr på 4 millioner kroner etter et ransomware-angrep, var nettopp manglende sikkerhet og håndtering av et alvorlig brudd sentralt.
Hva om bruddet skjer hos en databehandler?
Databehandleren skal etter artikkel 33 nr. 2 varsle den behandlingsansvarlige uten ugrunnet opphold når den blir kjent med et brudd. Den behandlingsansvarlige er den som melder til Datatilsynet – databehandleren melder ikke selv. I praksis er dette et kritisk ledd: bruker databehandleren to dager på å varsle deg, har du bare ett døgn igjen av 72-timersfristen. Derfor bør databehandleravtalen sette en konkret og kort varslingsfrist, typisk 24 timer, og databehandlerens kontaktpunkt bør stå i din avviksrutine slik at varselet ikke blir liggende hos feil person. Mange av de alvorligste hendelsene – dataangrep, feilkonfigurerte skytjenester – oppstår nettopp hos leverandøren, ikke internt.
Vanlige feil
- Å vente på full oversikt. Fristen løper fra man blir kjent med bruddet. Send en foreløpig melding i tide og suppler senere.
- Å tro at alt må meldes, eller at ingenting må meldes. Vurder risikoen konkret, og loggfør vurderingen uansett utfall.
- Å glemme databehandlerens varsling. Databehandleren skal varsle den behandlingsansvarlige uten ugrunnet opphold, jf. databehandleravtalen. Sett en kort kontraktsfrist.
- Å ikke varsle de berørte når risikoen er høy, eller å varsle så vagt at det ikke hjelper personene.
- Ingen intern rutine. Uten en fast avvikshåndteringsrutine rekker man ikke fristen når det virkelig gjelder.
Ofte stilte spørsmål
Må alle avvik meldes til Datatilsynet?
Nei. Et brudd skal meldes med mindre det sannsynligvis ikke medfører en risiko for de registrertes rettigheter og friheter. Men alle brudd, også de som ikke meldes, skal loggføres og vurderes. Er du i tvil, bør du melde.
Hva skjer hvis vi melder for sent?
For sen melding er et selvstendig brudd på artikkel 33 og kan gi overtredelsesgebyr. Argon Medical Devices ble ilagt 2,5 millioner kroner (senere redusert til 1,5 millioner) nettopp for å ha meldt et brudd for sent, uavhengig av det underliggende sikkerhetsbruddet.
Regnes en e-post til feil mottaker som et brudd?
Ja, en e-post med personopplysninger sendt til feil mottaker er et konfidensialitetsbrudd. Om det må meldes, avhenger av risikoen: én feilsendt e-post med begrenset informasjon som mottakeren sletter, kan vurderes som lav risiko, mens feilsending av sensitive opplysninger til mange typisk skal meldes.
Hva er forskjellen på melding til Datatilsynet og varsling av de berørte?
Melding til Datatilsynet etter artikkel 33 skjer innen 72 timer når bruddet medfører en risiko. Varsling av de berørte personene etter artikkel 34 skjer bare når risikoen er høy, og har et annet formål: å sette den enkelte i stand til å beskytte seg. Et brudd kan altså være meldepliktig til Datatilsynet uten at de berørte må varsles individuelt.
Konklusjon
Melding av brudd på personopplysningssikkerheten handler om tempo og struktur. 72-timersfristen løper fra man blir kjent med bruddet, ikke fra man har full oversikt – en misforståelse som kostet Argon Medical Devices et millionerbeløp. Vurder risikoen konkret, meld ved tvil, varsle de berørte når risikoen er høy, og dokumenter alt i en avvikslogg. Den eneste måten å rekke fristen på i praksis er å ha en innøvd rutine på plass før uhellet skjer. Et verktøy som Legiscope kan strukturere avviksbehandlingen med frister, roller og loggføring, slik at meldeplikten oppfylles i tide.
Denne artikkelen gir generell informasjon om artikkel 33-34 og utgjør ikke juridisk rådgivning.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial