Nye retningslinjer for avviksmeldinger

Det europeiske personvernrådet (EDPB) har kommet med retningslinjer om avvikshåndtering med eksempler på avvik etter personvernregelverket. Retningslinjene er endelig vedtatt etter å ha ligget ute på offentlig høring.

Disse retningslinjene handler om varsling av brudd på personopplysningssikkerheten og retter fokus på praksisorientert og case-basert veiledning og anbefalinger. Målet er å hjelpe behandlingsansvarlige med å bestemme hvordan de skal håndtere typiske databrudd og hvilke faktorer som bør tas med i en risikovurdering. De utfyller dermed tidligere retningslinjer gitt av den såkalte artikkel 29-gruppen, som hadde mindre fokus på praksis og som ikke inneholder konkrete eksempler.

Det er i henhold til artikkel 33 og 34 i personvernforordningen at en behandlingsansvarlig skal rapportere om visse brudd på personopplysningssikkerheten til den nasjonale datatilsynsmyndigheten og i enkelte tilfeller informere de berørte personene.

Les mer om avvikshåndtering.

Går gjennom typiske brudd

Disse retningslinjene er strukturert etter og går gjennom eksempler i henhold til visse kategorier brudd, deriblant løsepengevirus (ransomware), uautorisert dataeksfiltrering, menneskelige feil og stjålne eller mistede enheter og dokumenter. Selv om sakene som presenteres er fiktive, er de basert på typiske saker fra de nasjonale tilsynsmyndighetenes erfaring med brudd på personopplysningssikkerheten og etterfølgende avvikshåndtering.

Retningslinjene er oppdatert for å implementere og gjenspeile mottatte høringsinnspill.

Retningslinjene "Guidelines on Examples regarding Personal Data Breach Notification" er tilgjengelig på EDPB sine nettsider (edpb.europa.eu).