Håndtere avvik ved behandling av personopplysninger

1. Rutine ved mistanke eller bekreftelse av avvik

I) Enhver som behandler personopplysninger på vegne av UiO skal straks vedkommende har mistanke om at personopplysninger har kommet på avveie melde i fra om dette til sin nærmeste leder. Nærmeste leder eller leder ved enheten har ansvar for å kontakte UiO-CERT ved å fylle ut skjema for varsling av feil behandling av personopplysninger; brudd på intern rutine eller lovverk. UiO-CERT sørger for at hendelsen håndteres og at skadebegrensende tiltak iverksettes.

II)  Behandlingsansvarlig vil vurdere hendelsen og eventuelt kontakte:

  • Personvernombud
  • Universitetsdirektør og eventuelt andre fagdirektører   
  • Datatilsynet

I de aller fleste tilfeller skal IT-direktøren følge opp saken.

2. Standardprosedyre for håndtering av avvik ift. uberettiget spredning av personopplysninger

Gjelder for: Enhver som behandler personopplysninger på vegne av UiO
Når et avvik er oppdaget skal oppfølgingen loggføres fortløpende og saken håndteres som følger:

Kartlegg hvilke opplysninger som har vært tilgjengelige for hvem.

Det skal kartlegges hvilke type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.

Fjerne tilgang for gjeldende dokument/tjeneste

Uberettiget tilgang til opplysningene skal fjernes.  Opplysninger det ikke er behov for, eller kopier av slike, være deg seg fysiske eller digitale, skal straks slettes.

Kartlegge hvem som har aksessert informasjonen

Via tilgjengelige logger skal det kartlegges hvem som har aksessert informasjonen.

Når deling har skjedd via web:

  • Sjekke aksesslogger og kartlegge hvem som har lest informasjonen
  • Dersom søkemotorer har indeksert informasjonen skal de kontaktes og bes om at de reindekserer informasjonen.
    • Dette gjelder også selv om data ikke er synlige gjennom søketjenesten, kun indeksert.
  • Vurdere ut fra aksesslogger om andre skal kontaktes.
  • I en periode etterpå skal man sjekke manuelt om opplysningene blir gjort tilgjengelige igjen via søkemotorer:
    • uke 1: sjekkes daglig
    • uke 2-8: sjekkes ukentlig
    • måned 3-12: sjekkes månedlig

Informasjon til de registrerte

Som hovedregel skal alle varsles om hendelsen.  Om praktiske eller andre årsaker vanskeliggjør dette skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er nødvendig.

Informasjon til øvrige

IT-direktøren kan i samråd med kommunikasjonsdirektøren vurdere om noen av følgende skal informeres:

  • Ansatte ved UiO
  • Studenter ved UiO
  • Media

Rapport

Etter hendelsen skal den berørte avdeling i samarbeid med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal sendes Personvernombudet. Personvernombudet vurderer om den skal videresendes Datatilsynet.

Publisert 7. nov. 2016 14:09 - Sist endret 29. nov. 2017 12:01