I tillegg til negative konsekvenser som at IT-systemer kan settes ut av spill og forretningssensitiv informasjon kan bli offentliggjort, fører også cyberangrep regelmessig til at personopplysninger som virksomheter behandler kommer på avveie eller går tapt.
En ny avgjørelse fra EU-domstolen klargjør i hvilken utstrekning virksomheten selv kan holdes ansvarlig for slike tap av personopplysninger, til tross for at skaden reelt sett er forvoldt av en hacker.
Kort oppsummert
- En virksomhet som har tapt eller mistet personopplysninger etter et hackerangrep, kan bli erstatningsansvarlig dersom virksomheten ikke hadde implementert egnede sikkerhetstiltak for å hindre eller avverge slike angrep i henhold til GDPR artikkel 32.
- Virksomheter kan ikke holdes erstatningsansvarlige utelukkende fordi personopplysninger har gått tapt som følge av et cyberangrep. Tapet må ha en sammenheng med tiltakene som er implementert, eventuelt mangelen på slike.
- Virksomheten er ansvarlig for å påvise at egnede sikkerhetstiltak var implementert.
- Hvilke sikkerhetstiltak som er egnet, kommer an på risikoen som er forbundet med den aktuelle behandlingen. Virksomheter må gjennomføre risikovurderinger, som er grunnlaget for å kunne implementere egnede sikkerhetstiltak.
- Manglende risikovurdering kan eksponere virksomheter for ansvar.
Sakens bakgrunn
Natsionalna agentsia za prihodite ("NAP") er et offentlig organ i Bulgaria, som blant annet er ansvarlig for å inndrive gjeld til den bulgarske stat. I 2019 ble NAPs IT-systemer hacket, noe som førte til at personopplysningene til over seks millioner personer ble publisert på nettet. Flere hundre av disse personene saksøkte NAP, og krevde erstatning for "ikke-materiell skade" (GDPR artikkel 82). Den ikke-materielle skaden var saksøkernes frykt for at personopplysningene deres kunne bli misbrukt i fremtiden.
I den relevante saken tapte saksøkeren i underinstansen, som mente at NAP ikke kunne holdes ansvarlig: skaden var forårsaket av en tredjepart, det var ikke bevist at NAP ikke hadde truffet adekvate sikkerhetstiltak og saksøkeren kunne ikke kreve erstatning for den ikke-materielle skaden vedkommende hadde lidt. I forbindelse med ankebehandling i overinstansen, ble EU-domstolen anmodet om å besvare flere spørsmål vedrørende virksomheters ansvar for tap av personopplysninger i forbindelse med et cyberangrep.
Virksomheters erstatningsansvar etter GDPR
Det første spørsmålet EU-domstolen skulle svare på, var om virksomheter alltid vil anses for å ha misligholdt GDPR dersom de blir utsatt for et cyberangrep som fører til at personopplysninger går tapt eller kommer på avveie. Dette sa EU-domstolen nei til.
Videre presisere EU-domstolen at heller ikke det motsatte er tilfellet, nemlig at en virksomhet ikke vil unngå erstatningsansvar etter GDPR ved å peke på at tapet av personopplysninger ble forårsaket av en hacker. Det avgjørende for om virksomheten er ansvarlig, er om den har etterlevd forpliktelsene til å sørge for et tilstrekkelig sikkerhetsnivå i henhold til GDPR artikkel 32. EU-domstolen klargjør samtidig at det er virksomhetens ansvar å kunne på vise at det er implementert egnede sikkerhetstiltak.
I praksis innebærer dette, etter vår vurdering, at behandlingsansvarlige må kunne fremlegge risikovurderinger av IT-systemer og -tjenestene sine og hvordan risikoen er håndtert. Risikovurderingene må beskrive risikoen for angrep, samt hvilke konsekvenser et angrep vil ha for personvernet til de som blir berørt av angrepet. Risikovurderingene må også godtgjøre at de tiltakene som er implementert er egnet til å adressere den risikoen som er identifisert for systemet.
Ansvar for ikke-materiell skade
Etter GDPR artikkel 82 har personer som har lidt en "materiell eller ikke-materiell skade" som følge av overtredelser av GDPR, rett til å motta erstatning fra den behandlingsansvarlige (eller databehandleren) som forvoldte skaden. Som nevnt ovenfor, hadde ikke saksøkeren i den aktuelle saken lidt et økonomisk tap som følge av cyberangrepet, og det forelå ingenholdepunkter for at saksøkerens personopplysninger faktisk hadde blitt misbrukt. Saksøkeren hadde imidlertid en frykt for at personopplysningene kunne bli misbrukt i framtiden.
EU-domstolen kom frem til at denne frykten kan utgjøre en ikke-materiell skade, som den behandlingsansvarlige potensielt kan holdes erstatningsansvarlig for. EU-domstolen presiserer imidlertid at de nasjonale domstolene må verifisere at frykten for misbruk av personopplysninger er velbegrunnet ("well founded").
Vår anbefaling
Risikovurderinger kan være ressurskrevende, og mange virksomheter velger derfor ikke å gjøre disse. EU-domstolens avgjørelse er et klart signal om at gode risikovurderinger kan redusere eller eliminere virksomheters erstatningsansvar etter GDPR, dersom virksomheten utsettes for et angrep.
Vi anbefaler derfor at virksomheter utfører risikovurderinger av IT-systemer og -tjenester virksomheten ønsker å kjøpe. Det samme gjelder andre løsninger som virksomhetene ønsker å benytte til å behandle personopplysninger med.
Virksomheter som benytter eksisterende IT-systemer, -tjenester og -løsninger som ikke er risikovurdert, bør utføre slike risikovurderinger og verifisere at det er implementert tilstrekkelige sikkerhetstiltak.