Dersom du representerer en behandlingsansvarlig virksomhet der det har skjedd et avvik (brudd på personopplysningssikkerheten), skal du rapportere det så snart som mulig. På denne siden finner du informasjon om når og hvordan du går frem.

Melding av avvik under koronakrisen

Alle virksomheter i Norge er berørt av utfordringer som følger av koronaviruset, og vi står i en helt spesiell situasjon. Når det gjelder hovedreglene med 72-timersfrist for innmelding av avvik, kan denne fristen derfor tillempes noe etter situasjonen.

I personvernforordningen artikkel 33 nr. 1 står det:
«Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer, skal årsakene til forsinkelsen oppgis.»

Koronakrisen kan i denne sammenhengen oppgis som en årsak dersom det er den reelle grunnen til forsinkelse.

Les mer om Datatilsynets kontroll og håndheving av regelverket i denne perioden

Engelsk veiledning

EUs rådgivende organ i personvernspørsmål (Artikkel 29-gruppen) har skrevet en veiledning om avvikshåndtering, Personal Data Breach Notification. Den gir flere eksempler på brudd på personopplysningssikkerheten og hvordan man skal forholde seg til det.