Sikkerhetsloven sammenholdt med virksomhetsikkerhetsforskriften § 8 må forstås slik at personopplysninger kan behandles i forbindelse med håndtering av uønskede hendelser, i den utstrekning dette er relevant og nødvendig ut fra formålet med håndteringen, det vil si i den utstrekning det er nødvendig for reduksjon av skadeomfang, gjenoppretting av forsvarlig sikkerhetsnivå, hindre gjentagelse, samt for å kunne analysere konsekvensene av hendelsen.

Virksomhetsikkerhetsforskriften har krav om forholdsmessighet og nødvendighet ved bruk av inngripende tiltak i:

§ 15 Prinsipper ved valg og utforming av sikkerhetstiltak (tredje og fjerde ledd)

 

Virksomheten skal ikke bruke mer inngripende sikkerhetstiltak enn det som er nødvendig for å håndtere den aktuelle risikoen. I vurderingen av hva som er nødvendig, skal virksomheten særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles mer personopplysninger enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.

 

Når sikkerhetstiltaket kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.

Ved håndtering av uønskede hendelser ivaretas de grunnleggende prinsipper for personvern slik:

  • lovlighet, rettferdighet og gjennomsiktighet – ved at personopplysninger behandles for å oppfylle virksomhetens plikter i henhold til bestemmelser gitt i og i medhold av sikkerhetsloven. Dette innebærer at opplysningene behandles med håndtering av uønskede hendelser som formål, og at medarbeidere og andre involverte er kjent med at opplysningene behandles for dette formålet
  • formålsbegrensning – ved at personopplysninger behandles for å oppnå formålet med håndtering av uønskede hendelser, det vil si å begrense skade, sikre gjenoppretting og hindre gjentagelse, og ikke benyttes for andre formål 
  • dataminimering – ved at det ikke behandles andre personopplysninger enn de som er nødvendig for å oppfylle formålene angitt over, og som ikke er mer inngripende enn nødvendig. Dette forutsetter en avveining mellom et mulig resultat av en konkret håndtering av uønsket hendelse og inngrepet i den enkeltes personvern som må til for å oppnå dette resultatet
  • riktighet – gjennom etablering av prosedyrer for retting eller sletting av personopplysninger som ikke er riktige, slik at ikke håndteringen av en uønsket hendelser baseres på feilaktige eller foreldete personopplysninger
  • lagringsbegrensing – ved at personopplysninger ikke oppbevares lenger enn nødvendig. Dette innebærer blant annet at det må vurderes hvor lenge personopplysninger må inngå i dokumentasjon fra håndtering av uønskede hendelser
  • integritet og fortrolighet – ved at personopplysningene sikres konfidensialitet, tilgjengelighet og integritet av hensyn til den enkeltes personvern, så vel som av de hensyn som følger av sikkerhetslovens formål. Dette innebærer at virksomhetens risikovurderinger også må dekke risiko ovenfor den enkeltes personvern, så vel som risiko for sikkerhetstruende virksomhet

Virksomheten må utarbeide rutiner for behandling av personopplysninger ved håndtering av uønskede hendelser, slik at det gjennomføres konkrete nødvendighetsvurderinger og avveininger i alle håndteringer hvor personopplysninger behandles.