Avvikshåndtering ved brudd på personopplysningssikkerheten og melding til Datatilsynet
Hensikt
Sikre at lovbestemt meldeplikt til Datatilsynet følges ved brudd på personopplysningssikkerheten.
Målgruppe
Alle som har tilgang til, og/eller bearbeider og forvalter personopplysninger for VID
Definisjoner
Avvik: Brudd på personopplysningssikkerheten, brudd på lover og regler, samt brudd på VID interne rutiner, som regulerer enten direkte eller indirekte, behandling av personopplysninger.
Et brudd på personopplysningssikkerheten er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, jf personvernforordningen artikkel 4 nr. 12.
Personopplysninger: alle opplysninger som kan knyttes til enkelt person (f eks navn, adresse, telefonnummer, e-post og fødselsnummer (11 siffer), se personvernforordningen artikkel 4.
Avvikseier: Den linjeleder som eier arbeidsutførelsen som avviket gjelder.
Tiltakseier: Den eller de som er ansvarlig for implementering av de tiltak som avvikseier har utformet. Tiltakseiere kan være en eller flere ansatte, systemeiere, prosesseiere, ledere på et annet nivå eller annen enhet, eller tiltakseier og avvikseier kan i noen tilfeller være samme person.
Bruddene kan deles i brudd på:
- Konfidensialitet - At informasjon har konfidensialitet betyr at det er sikret at informasjonen og informasjonssystemene bare er tilgjengelige for de som har et tjenstlig behov. Eks. utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger
- Integritet - informasjon har integritet betyr at det er sikret at informasjonen er korrekt, gyldig og fullstendig og at den ikke kan endres utilsiktet eller av uvedkommende. Eks. utilsiktet eller ulovlig endring av personopplysninger.
- Tilgjengelighet - At informasjon og informasjonssystemer har tilgjengelighet betyr at det er sikret at informasjonen og informasjonssystemene er tilgjengelige ved behov innenfor de tilgjengelighetskrav som er satt. Eks. utilsiktet eller ulovlig tap av tilgang til eller tilintetgjøring av personopplysninger.