Alle arbeidstakarar har eit ansvar for å melde om avvik i arkivet, både det fysiske arkivet og det digitale arkivet. Det same gjeld avvik i arkivplanen.

Melding om avvik blir utført via avvikssystemet vårt Compilo.

Føremål
Sikra at avvik knytt til informasjonssikkerheit og arkiv blir gjennomgått og følgd opp, for å korrigere og førebygge.

Omfang/Virkeområde
Gjeld heile organisasjonen.

Ansvar
Tilsette har ansvar for å melda avvik dersom informasjon ikkje blir handtert i samsvar med lov, forskrift, policy, eller om informasjon kjem på avvegar.

Leiar har, saman med behandlingsansvarleg og personvernombod(PVO), ansvar for oppfølging og iverksetting av tiltak, innan dei fristane som gjeld.

HR/sikkerheitsansvarleg har ansvar for å etablera eit samla oversyn over alle avvik knytt til brot på informasjonstrygginga og arkiv for bruk i gjennomgang til leiinga.

Aktivitet/skildring
Dersom det oppstår brot på personopplysningssikkerheita, etablerte rutinar for arkiv og sikkerheit ikkje blir følgde eller personopplysningar kjem på avvegar, skal dette meldast inn som avvik. Avvik skal meldast i kvalitetssytemet Compilo.
PVO skal ha kopi av alle avvik.

Alle skal:

Melde inn avvik.

Leiar skal:

• innhente utfyllande informasjon om hendinga
• gjennomføre ei risikovurdering
- organisasjonen sin risiko ved hending
- den registrerte sin risiko ved hendinga
• iverksette straks-tiltak dersom dette er nødvendig, for å avgrense skadeomfang
• vurdere om den registrerte skal informerast i samråd med PVO
- informere den registrerte om hendinga
• følgje opp tiltak for å kontrollere at tilsvarande hendingar ikkje skjer igjen
• informere tilsette i avdelinga for å sikra læring
• dokumentere all avvikshandtering i Compilo

Vidare må den registrerte som kan vera rørt av brotet bli varsla.
Merk: Varsling er ikkje nødvendig der den behandlingsansvarlege handterer sikkerheitsbrotet ved å treffa etterfølgande tiltak som eliminerer risikoen for skade, f. eks. ved å gjera opplysningane som er på avvege uleselege/utilgjengelege for uvedkomande(t.d. ved kryptering).

Merk: Terskelen for å varsle den registrerte er noko høgare enn terskelen for å varsle Datatilsynet.

HR/Sikkerheitsansvarleg skal ha ein årleg gjennomgang av alle avvik innanfor arkiv, informasjonstryggleik og personvern, og legge fram eit samla resultat til gjennomgang for leiinga.

Varsling til Datatilsynet

Det er PVO som skal vurdere om brotet er meldepliktig og sende melding om brotet, via Altinn, til Datatilsynet. Det er viktig at PVO får alle nødvendige opplysningar om brotet.

Utgangspunktet er at Datatilsynet skal varslast i alle tilfelle der tryggheitsbrotet medfører ein risiko for dei registrerte sine rettar og friheiter. Melding skal sendast til Datatilsynet innan 72 timar frå behandlingsansvarleg er gjort kjent med brotet.

Artikkel 33.Melding til tilsynsmyndigheten om brudd på personopplysningssikkerheten

1. Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet i samsvar med artikkel 55, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.