Hvordan følge opp bruddet internt?

Brudd på personopplysningssikkerheten skal alltid følges opp internt.

Den behandlingsansvarlige har et selvstendig ansvar for å sikre og dokumentere at virksomheten oppfyller kravene i personvernforordningen.

Etablerte tiltak må gjennomgås

Det skal være etablert et styringssystem for håndtering av brudd på personopplysningssikkerheten. Det innebærer at den behandlingsansvarlige skal dokumentere vurderingene virksomheten gjør når det oppstår brudd på personopplysningssikkerheten.
Les om etablering av internkontroll

Hvis brudd på personopplysningssikkerheten oppdages, må virksomheten vurdere om de tekniske og organisatoriske tiltakene som er etablert, er effektive og fungerer slik de skal. Hvis den behandlingsansvarlige ser at tiltakene er mangelfulle, må virksomheten få på plass nye tiltak som sikrer at kravene i personvernforordningen blir oppfylt, og som sikrer de berørte sine rettigheter og friheter. Nye tiltak må dokumenteres og følges opp med god opplæring.

Risiko for de berørte må vurderes

Den behandlingsansvarlige må vurdere hvilken risiko bruddet på personopplysningssikkerheten innebærer for de som er berørt. Det må også vurderes om de som er berørt må varsles om det som har skjedd.

Dersom det har skjedd et sikkerhetsbrudd eller -hendelse, og dere er usikre på om det skal meldes til Datatilsynet, undersøk først:

  • Er personopplysninger omfattet av bruddet?
  • Innebærer sikkerhetsbruddet en risiko for enkeltpersoners rettigheter og friheter?

Et brudd på personopplysningssikkerheten er alltid et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sørg for at dere har interne rutiner for å:

  • oppdage og raskt håndtere brudd, inkludert det å finne ut om det er et brudd på personopplysningssikkerheten
  • vurdere risikoen for de registrerte (konsekvens og sannsynlighet)
  • avgjøre:
    • Er det nødvendig å melde til Datatilsynet? (Skal meldes med mindre det er usannsynlig at bruddet vil føre til risiko for de registrertes rettigheter og friheter)
    • Er det nødvendig å informere de berørte? (Skal gjøres ved høy risiko for de registrertes rettigheter og friheter)

Dokumenter håndteringen

Brudd på personopplysningssikkerheten skal alltid håndteres internt. Dersom det ikke meldes til Datatilsynet eller de berørte ikke varsles, skal det begrunnes i en intern rapport i egen virksomhet.