H?ndtere avvik ved behandling av personopplysninger

 

Meld fra om avvik

Avvik meldes til UiO-CERT og behandlingsansvarlig.

Meld fra om avvik

1. Rutine ved mistanke eller bekreftelse av avvik

I) Enhver som behandler personopplysninger p? vegne av UiO skal straks vedkommende har mistanke om at personopplysninger har kommet p? avveie melde i fra om dette til sin n?rmeste leder. N?rmeste leder eller leder ved enheten har ansvar for ? kontakte UiO-CERT ved ? fylle ut skjema for varsling av feil behandling av personopplysninger; brudd p? intern rutine eller lovverk. UiO-CERT s?rger for at hendelsen h?ndteres og at skadebegrensende tiltak iverksettes.

II)  Behandlingsansvarlig vil vurdere hendelsen og eventuelt kontakte:

  • Personvernombud
  • Universitetsdirekt?r og eventuelt andre fagdirekt?rer   
  • Datatilsynet

I de aller fleste tilfeller skal IT-direkt?ren f?lge opp saken.

2. Standardprosedyre for h?ndtering av avvik ift. uberettiget spredning av personopplysninger

Gjelder for: Enhver som behandler personopplysninger p? vegne av UiO
N?r et avvik er oppdaget skal oppf?lgingen loggf?res fortl?pende og saken h?ndteres som f?lger:

Kartlegg hvilke opplysninger som har v?rt tilgjengelige for hvem.

Det skal kartlegges hvilke type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.

Fjerne tilgang for gjeldende dokument/tjeneste

Uberettiget tilgang til opplysningene skal fjernes.  Opplysninger det ikke er behov for, eller kopier av slike, v?re deg seg fysiske eller digitale, skal straks slettes.

Kartlegge hvem som har aksessert informasjonen

Via tilgjengelige logger skal det kartlegges hvem som har aksessert informasjonen.

N?r deling har skjedd via web:

  • Sjekke aksesslogger og kartlegge hvem som har lest informasjonen
  • Dersom s?kemotorer har indeksert informasjonen skal de kontaktes og bes om at de reindekserer informasjonen.
    • Dette gjelder ogs? selv om data ikke er synlige gjennom s?ketjenesten, kun indeksert.
  • Vurdere ut fra aksesslogger om andre skal kontaktes.
  • I en periode etterp? skal man sjekke manuelt om opplysningene blir gjort tilgjengelige igjen via s?kemotorer:
    • uke 1: sjekkes daglig
    • uke 2-8: sjekkes ukentlig
    • m?ned 3-12: sjekkes m?nedlig

Informasjon til de registrerte

Som hovedregel skal alle varsles om hendelsen.  Om praktiske eller andre ?rsaker vanskeliggj?r dette skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er n?dvendig.

Informasjon til ?vrige

IT-direkt?ren kan i samr?d med kommunikasjonsdirekt?ren vurdere om noen av f?lgende skal informeres:

  • Ansatte ved UiO
  • Studenter ved UiO
  • Media

Rapport

Etter hendelsen skal den ber?rte avdeling i Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@ med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal sendes Personvernombudet. Personvernombudet vurderer om den skal videresendes Datatilsynet.

Publisert 7. nov. 2016 14:09 - Sist endret 25. jan. 2021 14:11
Del p? e-post