Meld fra om avvik
Avvik meldes til UiO-CERT og behandlingsansvarlig.
1. Rutine ved mistanke eller bekreftelse av avvik
I) Enhver som behandler personopplysninger på vegne av UiO skal straks vedkommende har mistanke om at personopplysninger har kommet på avveie melde i fra om dette til sin nærmeste leder. Nærmeste leder eller leder ved enheten har ansvar for å kontakte UiO-CERT ved å fylle ut skjema for varsling av feil behandling av personopplysninger; brudd på intern rutine eller lovverk. UiO-CERT sørger for at hendelsen håndteres og at skadebegrensende tiltak iverksettes.
II) Behandlingsansvarlig vil vurdere hendelsen og eventuelt kontakte:
- Personvernombud
- Universitetsdirektør og eventuelt andre fagdirektører
- Datatilsynet
I de aller fleste tilfeller skal IT-direktøren følge opp saken.
2. Standardprosedyre for håndtering av avvik ift. uberettiget spredning av personopplysninger
Gjelder for: Enhver som behandler personopplysninger på vegne av UiO
Når et avvik er oppdaget skal oppfølgingen loggføres fortløpende og saken håndteres som følger:
Kartlegg hvilke opplysninger som har vært tilgjengelige for hvem.
Det skal kartlegges hvilke type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.
Fjerne tilgang for gjeldende dokument/tjeneste
Uberettiget tilgang til opplysningene skal fjernes. Opplysninger det ikke er behov for, eller kopier av slike, være deg seg fysiske eller digitale, skal straks slettes.
Kartlegge hvem som har aksessert informasjonen
Via tilgjengelige logger skal det kartlegges hvem som har aksessert informasjonen.
Når deling har skjedd via web:
- Sjekke aksesslogger og kartlegge hvem som har lest informasjonen
- Dersom søkemotorer har indeksert informasjonen skal de kontaktes og bes om at de reindekserer informasjonen.
- Dette gjelder også selv om data ikke er synlige gjennom søketjenesten, kun indeksert.
- Vurdere ut fra aksesslogger om andre skal kontaktes.
- I en periode etterpå skal man sjekke manuelt om opplysningene blir gjort tilgjengelige igjen via søkemotorer:
- uke 1: sjekkes daglig
- uke 2-8: sjekkes ukentlig
- måned 3-12: sjekkes månedlig
Informasjon til de registrerte
Som hovedregel skal alle varsles om hendelsen. Om praktiske eller andre årsaker vanskeliggjør dette skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er nødvendig.
Informasjon til øvrige
IT-direktøren kan i samråd med kommunikasjonsdirektøren vurdere om noen av følgende skal informeres:
- Ansatte ved UiO
- Studenter ved UiO
- Media
Rapport
Etter hendelsen skal den berørte avdeling i samarbeid med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal sendes Personvernombudet. Personvernombudet vurderer om den skal videresendes Datatilsynet.