Hva er et avvik?
Avvik refererer til uheldige eller problematiske måter å behandle personopplysninger på. Slike avvik kan i hovedsak oppstå på to måter:
- ved at personopplysninger behandles i strid med vedtatte rutiner, retningslinjer eller lov, for eksempel i forbindelse med saksbehandling
- ved at det forekommer brudd på informasjonssikkerheten til personopplysningene, for eksempel ved urettmessig publisering av personopplysninger på nett
- Se her for 10 typsike eksempler på avvik, og hvordan de kan forhindres
Avvik fra vedtatte rutiner eller retningslinjer og brudd på informasjonssikkerheten skal rapporteres slik at feil og mangler (avvik) kan rettes opp.
Hva skjer når jeg melder inn avvik?
Enhver som behandler personopplysninger på vegne av UiO skal straks de har mistanke om at personopplysninger har kommet på avveie melde i fra om dette til sin nærmeste leder. Nærmeste leder eller leder ved enheten har ansvar for å kontakte UiO-CERT ved å fylle ut skjema for varsling av feil behandling av personopplysninger; brudd på intern rutine eller lovverk. Innmeldingen må gjøres så fort som mulig, alle forhold trenger ikke å være avklart. UiO-CERT sørger for at hendelsen håndteres og at skadebegrensende tiltak iverksettes.
UiO-CERT og utøver av behandleransvaret vil vurdere hendelsen og eventuelt kontakte etter behov:
- Personvernombud
- Universitetsdirektør og eventuelt andre fagdirektører
- Datatilsynet