Kundene må varsles ved datainnbrudd

Fordi det ikke meldes om datainnbrudd er hver 20. amerikaner frastjålet sin identitet. En ny lov i California skal gi bedre personvern.

Dette er første gang amerikanske bedrifter pålegges ved lov å informere kundene dersom uvedkommende kan ha fått tak i dataregistre med personlig informasjon om bankkonti, kreditkort, adresser, navn og så videre. Senator Dianne Feinstein fra California sier hun vil fremme et tilsvarende lovforslag i kongressen, der Representantenes hus allerede har fått seg forelagt et lovtillegg med samme hensikt.

Bakgrunnen for loven er kjente tilfeller der personopplysninger har kommet på avveie uten at bedriftene har tatt tiltak for å varsle sine kunder. Kundene har ikke visst noe før kontoene deres er blitt tømt. Undersøkelser i USA tyder på at en av tjue har fått sine identiteter misbrukt på et eller annet vis.

Varslingen skal gjøres personlig dersom færre enn 500.000 mennesker er berørt.

Loven nedfeller ingen spesielle sanksjoner utenom private søksmål fra kunder.

Informasjonssjef Ove Skåra i det norske Datatilsynet peker på at Personopplysningsloven sikrer et tilsvarende vern i Norge.

– I en forskrift til loven slås det fast at Datatilsynet skal varsles straks personopplysninger har kommet på avveie. Det skal sendes en avviksmelding til oss. Som regel vil vi pålegge den behandlingsansvarlige, altså den hvis registre er åpnet, å varsle kundene slik at disse kan ta de nødvendige tiltak for å beskytte seg. Hvis den utilsiktede utleveringen kan føres tilbake til uaktsomhet fra behandlingsansvarlige, vil de normalt måtte erstatte skader og utbetale oppreising til kundene.

Skåra sier man kan anta at det finnes en viss underrapportering av slike tilfeller i Norge.

– Å ikke rapportere til oss at betrodde personopplysninger er kommet på avveie, utgjør et lovbrudd. Som sanksjoner har Datatilsynet muligheter til selv å gi bøter. Vi kan også anmelde forholdet.

Til toppen