Du får beskjed hvis persondata lekkes

Nye regler bedrer sikkerheten mot ID-tyveri.

Alle leverandører av elektroniske kommunikasjonstjenester må fremover belage seg på full åpenhet dersom de mister dine personopplysninger.

Det blir slutt på å feie sikkerhetsbrudd under teppet, når EUs nye regler innføres om kort tid.

Før jul falt de siste brikkene på plass i det såkalte ePrivacy-direktivet fra 2002 (2002/58/EC). Hensikten er å gjøre det tryggere å bruke internett.

Her går det frem at du, og offentligheten, skal få beskjed dersom dine personopplysninger kommer på avveie, for eksempel dersom et nettselskap blir hacket.

- I tillegg plikter selskapene å gi informasjon om hvordan sikkerhetsbruddet har skjedd og komme med forslag til de berørte, slik at du kan iverksette tiltak for å redusere risikoen.

Selskaper med digitale kommunikasjonstjenester må forberede seg på full åpenhet hvis de rammes av datalekkasjer. Det er en seier for personvernet, mener advokat Jarle Roar Sæbø.
Selskaper med digitale kommunikasjonstjenester må forberede seg på full åpenhet hvis de rammes av datalekkasjer. Det er en seier for personvernet, mener advokat Jarle Roar Sæbø.

Det forteller teknologiadvokat og partner i advokatselskapet Grette, Jarle Roar Sæbø til digi.no.

Han forteller at det er de profesjonelle kommunikasjonsaktørerene som blir underlagt det nye regelverket.

Ifølge Sæbø berøres nettselskaper, teleaktører, men også nettjenester med egne kommunikasjonsplattformer, som Facebook, Nettby, Blink og lignende.

- Sosiale nettverk er en offentlig tilgjengelig elektronisk kommunikasjonstjeneste. Hvis Sukker.no eller Facebook har datainnbrudd må de gå ut og varsle kunder og forklare hva som har skjedd.

Å måtte innrømme at brukernes data er lekket vil kunne medføre betydelig tap av omdømme for berørte virksomheter. I høringsrunden for direktivet ble det av enkelte hevdet at slik åpenhet også kan føre til ytterligere angrep.

- Personlig tilhører jeg dem som mener det er viktigere at de registrerte får muligheten til å iverksette skadereduserende tiltak, påpeker Sæbø.

Direktivet sier ingenting om straff, men ifølge Sæbø vil det være straffebestemmelser som kan benyttes når direktivet implementeres i norsk lov.

- Aktørene kan bli gjenstand for erstatningssøksmål og massesøksmål, såkalte class action-saker, hvis de ikke følger opp.

Og ePrivacy-direktivet har EØS-relevanse og kommer til å bli implementert i norsk lov. Det er Jarle Roar Sæbø sikker på.

- Norge er blant de tre raskeste landene med å implementere EU-direktiver, det viser statistikken. Jeg tror dette er på plass i løpet av ett år i Norge.

For berørte norske virksomheter innebærer regelendringen at de må forberede seg på å være veldig raskt ute og informere hvis uhellet skjer.

- Ved siden av å ha prosedyrer for å unngå å bli utsatt for sikkerhetsbrudd bør man være påpasselig med å kunne dokumentere dem. Hvis datalekkasjen er et faktum må man være raskt ute å varsle.

    Les også:

Til toppen