Vi undersøker også andre aktører enn de som er meldt inn til oss og kontrollerer om personvernregelverket er ivaretatt.
I et innlegg mener informasjonssikkerhetsrådgiver Simen Bakke at det i dag er trusselaktørenes aktivitet som påvirker hvem Datatilsynet gir gebyr til. Han sier at vi heller bør jobbe forebyggende og ikke bare straffe etter at angrep har skjedd. Vi støtter fullt ut poenget om at Datatilsynet må jobbe forebyggende. Vi tror at noe av kritikken muligens bygger på feil forutsetninger og mangelfull forståelse om hvordan vi faktisk arbeider.
Datatilsynets ansvarsområde er stort og vi må hele tiden prioritere i vårt arbeid for et godt personvern, samtidig som vi er forpliktet til å følge opp saker og hendelser som meldes til oss på en forsvarlig måte.
Et viktig tema er hvorvidt saken vi behandler kan ha betydning utover det konkrete tilfellet, og hvor stor personverneffekt vi oppnår. Et innmeldt avvik eller en klage i en enkeltsak er ofte et symptom på en mangel som gjelder flere. Og det er ikke sjelden at vi undersøker andre aktører enn de som er meldt inn til oss og kontrollerer om personvernregelverket er ivaretatt.
I fjor fikk vi inn 2255 meldinger om brudd på personopplysningssikkerheten. 13 prosent omhandlet dataangrep. Dette er en økning på fire prosent fra året før. De aller fleste hendelsene kunne vært forhindret eller blitt mindre alvorlige dersom informasjonssikkerheten hadde vært bedre.
For de mest alvorlige tilfellene vi undersøker, kan vi velge å utstede overtredelsesgebyr. En helt sentral virkning av et gebyr er at det skal virke avskrekkende, samtidig som det skal være virkningsfullt og rimelig. Dette følger direkte av personvernregelverket.
Et av hovedformålene med gebyrer er den forebyggende effekten. Kanskje ikke overfor den som allerede er rammet av et angrep, men overfor alle andre i samme situasjon og som kan lære. Et overtredelsesgebyr fra Datatilsynet skaper ofte stor oppmerksomhet, og det medfører i mange tilfeller at andre aktører får seg en vekker om hvilket arbeid de må gjøre for å sikre dataene sine.
Bakke trekker frem Østre Toten kommune og Stortinget som eksempler på tilsyn fra Datatilsynet som ble utført etter at dataangrep hadde inntruffet og personopplysninger var kommet på avveier. I begge tilfellene skjedde angrepene som følge av store svakheter med sikkerheten rundt personopplysninger som ble behandlet. Dette er avdekket gjennom vår saksbehandling, som etter vår mening har gitt både informasjon og oppmerksomhet om denne og andre lignende hendelser.
Østre Totens oppfølging og åpenhet var forbilledlig og kan trolig medføre at andre kommuner sørger for at det ikke skjer igjen og igjen. I utmålingen av gebyret la Datatilsynet vekt på disse forholdene.
Vi mener at den informasjonen som er kommet frem er til stor nytte for andre i deres sikkerhetsarbeid. Den forebyggende gevinsten av vår oppfølging av disse sakene er udiskutabel.
Dette innlegget ble først publisert i Dagens næringsliv 8. februar.