Meld inn personvernavvik

Prosedyre for håndtering av avvik i hht personvernforordningen

Formål

Prosedyren skal sikre en enhetlig, tydelig og tilgjengelig rutine for identifisering og håndtering av avvik ved Samisk høgskole. Avvikshåndtering skal sikre at Samisk høgskole kan minimere konsekvensene av avvik, hindre nye avvik og at alvorlige ulykker håndteres og varsles raskt og riktig.

Virkeområde

Prosedyren omfatter alle avvik tilknyttet behandling av personopplysninger, jf. personopplysningsloven/ personvernforordning. Denne prosedyren gjelder alle enheter ved Samisk høgskole.

Definisjoner

Personopplysninger:

  • Personopplysninger er enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1.  Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.
  • Det er uten betydning om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.
  • vvik:

«Avvik» er brudd på krav fastsatt i eller i medhold av lover, forskrifter, prosedyrer og instrukser. Et brudd på personopplysningssikkerheten kan kategoriseres i:

  • Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
  • Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
  • Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller tilintetgjøring av, personopplysninger.

                Et brudd kan omfatte én, eller en kombinasjon av disse tre.

  • Uklar ansvarsfordeling, mangel på rutiner, uønskede forsinkelser i saksbehandling m.m.er eksempler på organisatoriske avvik

 

 

Eksempler på brudd på personopplysningssikkerhet:

  • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
  • feilutlevering eller feilpublisering av informasjon
  • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
  • rutiner som mangler, ikke fungerer, eller som ikke følges 
  • Nettpublisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.
  • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
  • manglende rettslig grunnlag for å behandle personopplysninger 
  • ukryptert e-post til eksterne, som inneholder personopplysninger
  • Tapt eller stjålet enhet eller papirdokumenter som er gått tapt, blitt stjålet eller etterlatt
  • Fysisk innbrudd hvor ukrypterte digitale data eller papirdokumenter med personopplysninger er forsvunnet.

 

Ansvar

Samtlige studenter og ansatte ved Samisk høgskole har plikt til å melde inn avvik, eller ved mistanke om avvik, som oppstår i forbindelse med behandling av personopplysninger i forskning, undervisning, administrasjon og formidling.

Fremgangsmåte

Ansatte og studenter skal melde avvik ved å bruke elektronisk skjema for melding om avvik i CIM, ved å følge denne linken CIM Samisk Høgskole [KunnskapsCIM]. Velg “logg inn” og benytt Feide.

Personopplysninger om hvem som var involvert i avviket/hendelsen skal ikke registreres i skjemaet. Avviket sendes automatisk til IT- og driftssjef og personalsjef, som vil gjøre en konkret vurdering av ansvarlig leder og behandlingsansvarlig, samt koordinere skadeavgrensende aktivitet ved innmeldingen.  Ansvaret for videre oppfølging vil påligge behandlingsansvarlig.

Avviksmeldingen bør beskrive følgende:

 

  • hva har skjedd, hvor skjedde det og hvordan oppsto det?
  • dato eller tidsrom for avviket
  • når ble det oppdaget
  • har informasjon blitt kjent (ev. potensielt blitt kjent) for uvedkommende?
  • beskrivelse av situasjonen. F.eks antall personer, er det lagt ut på internett, feilsendt til en eller flere personer
  • har informasjon gått tapt eller vært utilgjengelig en periode (og fikk det store eller små konsekvenser)?
  • har informasjon blitt endret, enten av uvedkommende eller ved et uhell?
  • hvor mange personer er berørt av avviket
  • beskrivelse av hvor personopplysningene befinner seg etter avviket
  • hvem vi kan kontakte for å få mer informasjon hvis nødvendig

 

Dersom du ikke har full oversikt med en gang, så send oss en helt kort orientering. Det er viktig at vi får beskjed så snart som mulig. Vi vil etterspørre mer informasjon hvis vi behøver det.

 

Hvor raskt skal et brudd meldes og hvem skal det meldes til:

Tid er avgjørende ved brudd på personopplysningssikkerheten. Det er viktig at ansatte umiddelbart melder ifra, når et brudd oppstår, oppdages eller mistenkes. Dette for å sikre at bruddet håndteres raskt og man raskt får på plass risikoreduserende tiltak, for å minske skadeomfanget.

 

Når avviksmeldingen er mottatt skal nærmeste leder:

  • kvalitetssikre og klassifisere avviket, sørge for at avviket er tilstrekkelig belyst og at det ikke inneholder sensitive personopplysninger.
  • Informere personvernombudet om avviket. Personvernombudet vil være rådgiver i alle avvikssaker
  • Vurdere saken og identifisere mulige tiltak
  • Vurdere om bruddet skal meldes ifra til Datatilsynet, og deretter så raskt som mulig informere de berørte (der det er nødvendig).
  • Beslutte tiltak
  • Følge opp gjennomføringen av de besluttede tiltak
  • Lukke saken
  • Sørge for nødvendig intern rapportering

 

Den behandlingsansvarlige er ansvarlig for å rapportere inn brudd på personopplysningssikkerheten til datatilsynet bruddet til Datatilsynet så raskt som mulig (uten ugrunnet opphold) og senest 72 timer etter at man har en rimelig grad av visshet om at det har skjedd et brudd på sikkerheten som har ført til at personopplysninger er kompromittert. Dersom det ikke er mulig å gi all informasjon samtidig, kan dette gis trinnvis. Rektor, direktør, teknologi- og driftssjef, personalsjef og personalkonsulent har tilgang til å melde inn brudd til Datatilsynet.

Hva angår rapportering og håndtering av bruddet, skal det gjøres en risikovurdering av hvilke konsekvenser sikkerhetsbruddet kan få for ansatte, samt sannsynligheten for at disse inntreffer. Resultatet av risikovurderingen er avgjørende for om det skal varsles og hvem som eventuelt skal varsles om sikkerhetsbruddet:

  • Ingen eller lav risiko: Ingen varsling er påkrevd
  • Middels risiko: Datatilsynet skal varsles
  • Høy risiko: Datatilsynet og de berørte skal varsles

Dersom man konkluderer med ingen/lav risiko, er det likevel viktig å dokumentere utførte vurderinger.

 

Videre saksgang:

Når avviksmeldingen er mottatt skal nærmeste leder:

  • kvalitetssikre og klassifisere avviket, sørge for at avviket er tilstrekkelig belyst og at det ikke inneholder sensitive personopplysninger.
  • Informere personvernombudet om avviket
  • Vurdere saken og identifisere mulige tiltak
  • Beslutte tiltak
  • Følge opp gjennomføringen av de besluttede tiltak
  • Lukke saken
  • Sørge for nødvendig intern rapportering

 

 

Arkivering:

Avvikmelding skal gjøres i CIM og oppfølging av tiltak

CIM

 

Informasjon til de berørte:

De som er berørt av et avvik, altså de som har fått personopplysninger på avveier, skal informeres dersom det er sannsynlig at det vil medføre en høy risiko for deres rettigheter og friheter. Dette skal skje så raskt som mulig.

Dersom det er sannsynlig at avviket medfører en høy risiko i forhold til rettigheter og friheter skal den behandlingsansvarlige som et minimum gi de berørte følgende informasjon:

  • Beskrivelse av bruddet.
  • Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes.
  • Beskrivelse av de sannsynlige konsekvensene av bruddet.
  • Beskrivelse av de tiltakene som den behandlingsansvarlige har truffet eller foreslår å igangsette for å håndtere bruddet, inkludert (dersom det er relevant) tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Den behandlingsansvarlige bør så langt det er mulig, ta direkte kontakt med de som er berøre.

På Datatilsynets side Melde avvik | Datatilsynet finnes mer informasjon om når et avvik anses å medføre en høy risiko for rettigheter og friheter og hvordan kontakt med de berørte skal gjennomføres.

 

Årlig gjennomgang av avvik

Teknologi- og og driftssjef er ansvarlig for årlig gjennomgang og evaluering av avvik. Styret skal informeres årlig om evalueringen, særlig med hensyn på;

  • Håndtering av avvik som går på tvers av avdelingene
  • Gjentakende avvik i organisasjonen
  • Vurdere avvikshåndteringen og om rutinene bør kompletteres eller endres