Arkivplan.no
Utskriftsvennlig versjon

Rutine ved brudd på personopplysningssikkerheten

Avvikshandsaming – Feilsending av elektroniske post.  

 

Personopplysningsloven Kapittel 6, avsnitt 2 Personopplysningssikkerhet.
Artikkel 33. Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten.

1.Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet
opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis. 
https://lovdata.no/dokument/NL/lov/2018-06-15-38/gdpr/ARTIKKEL_33#gdpr (09.06.2021)

 

Når skal du melde inn avvik
Dersom du representerer ei behandlingsansvarleg verksemd skal du rapportere inn avvik så snart som råd etter at avviket er oppdaga, og seinast innan 72 timar.
I denne samanheng er eit avvik eit "brot på personopplysningssikkerheita".
Dersom det er alvorleg brot og det kan medføre skade for liv og helse, skal du kontakte Datatilsynet direkte på telefon i tillegg. Personvernombodet i kommunen skal informerast om avviket, dette vert gjort ved å melde avviket internt i avvikssystemet Compilo.

 

Eit brot på personopplysningssikkerheita kan kategoriserast slik:

  1. Brot på konfidensialitet, det vil seie at det har vært ein utilsikta  eller ulovleg utlevering av, eller tilgang til, personopplysningar.
  2. Brot på integritet, det vil seie at det har vært ein utilsikta eller ulovleg endring av personopplysningar.
  3. Brot på tilgjengelegheit, det vil sei der det har vært eit utilsikta eller ulovleg tap av tilgang til, eller til utslette personopplysningar.

 

Sendingsfeil  

-        Beskyttelsesverdig personopplysningar er sendt til feil mottakar pr. post eller e-post.

-        Digitale sendingar som avslører andre sin e-postadresse i ein kontekst kor mottakar skal beskyttast.

-        Sendinga er til rett mottakar, men som ved ein feil og inneheld beskyttelsesverdig personopplysningar om andre.

-        Sendinga er til rett mottakar, men det er informasjon om mottak som skal skjermast for andre er synleg utanpå sendinga. Eksempel på dette er innkalling til medlemsmøte i ein religiøs forsamling.

 

Alvorsgrad
Med ein gang du er klar over at det har skjedd eit brot, skal du handsame og avgrense det. 

-        Dersom det er ein risiko, men den ikkje vurderast til å vera høg, er det naudsynt å melde frå til Datatilsynet, men ikkje informera dei råka.

-        Dersom det er høg risiko, er det naudsynt å melde frå til Datatilsynet og informere dei råka.

 

Melde avvik til Datatilsynet

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/melde-avvik-til-datatilsynet/

Avvik vert meldt til Datatilsynet via Altinn.no 
Dette vil sei at du treng elektronisk ID (bank Id), samt myndigheit til å kunne rapportere på vegne av di verksemd. Dersom dette gjev utfordringar ta kontakt med personvernet i kommunen.

 

Informasjon ut til dei som er råka av brotet.

Du skal kontakte dei som har motteke feilsendt post, og dei som ikkje fått post, snarast mogleg etter oppdaga brot.
Informasjonen som du gjev ut til dei råka er:

-        Beskriving av brotet

-        Namn og kontaktinformasjon til personvernombod eller til anna kontaktpunkt dersom ein treng meir informasjon.

-        Beskriving av synleg konsekvens av brotet.

-        Beskriving av tiltak som behandlingsansvarleg set i verk og utfører for å redusera eventuelt skadeomfang.

-        Informasjon om at sak vert meldt til Datatilsynet som ein del av rutinen.

Laster...