Avvikshåndtering

Hva er avvik?

Ved behandling av personopplysninger er det alltid risiko for avvik. Avvik vil si at personopplysninger behandles i strid med lov eller institusjonens retningslinjer, eller at det skjer brudd på informasjonssikkerheten. Slike feil skjer ved alle forskningsinstitusjoner. Derfor er det viktig med gode rutiner for å forebygge, avdekke og håndtere avvik.

Hvorfor trenger vi rutiner?

Når uhellet først er ute, er tiden knapp. Alle må kjenne sin rolle, og vite hva de skal gjøre. Ansatte må vite hva avvik er og hvordan de skal varsle internt. Og ledelsen må vite hvordan de skal håndtere avviksmeldingen. Det er viktig at ledelsen raskt kan sette folk i arbeid og finne tiltak som begrenser skaden og hindrer gjentagelse. I visse tilfeller må institusjonen varsle Datatilsynet og de berørte. Uten faste rutiner som er godt kjent i organisasjonen kan dette glippe, slik at skaden blir større.

God avvikshåndtering er et viktig virkemiddel for å oppnå lovlig og trygg behandling av personopplysninger. Det reduserer faren for store feil og gjentakelser. Det er bedre at institusjonen jobber systematisk for å oppdage og behandle avvik internt, enn at avvikene avdekkes av Datatilsynet, mediene eller andre.

Den beste måten å unngå avvik på, er å arbeide med internkontroll.

Hvordan lage en rutine for avvikshåndtering?

En avviksrutine bør inneholde:

  • en definisjon av hva avvik er
  • rutiner for når og hvordan ansatte skal varsle avvik internt
  • en beskrivelse av hva det interne varselet skal inneholde (i form av et avviksskjema)
  • rutiner for hvordan ledelsen skal behandle avvik
  • tidsfrister for når de ulike oppgavene skal være løst

Ved avvik kan ledelsen delegere oppgaver, men ikke ansvar. Det er lurt å utnevne en person som leder avvikshåndteringen, og gjerne en arbeidsgruppe.

Ledelsens rutine for avvikshåndtering bør beskrive tiltak for å:

  • begrense skaden: strakstiltak for å stoppe eller begrense lekkasjen
  • kartlegge hva som har skjedd: hvilke opplysninger lekket, hvorfor, og hva er konsekvensene?
  • vurdere hvem som skal varsles: de berørte, samarbeidspartnere, Datatilsynet, politiet?
  • rette opp i skaden: målrettet arbeid for å begrense skaden og (om mulig) lukke avviket
  • hindre gjentagelse: målrettet arbeid for å forebygge at liknende avvik skjer igjen

Når har institusjonen plikt til å varsle Datatilsynet?

Institusjonen har varslingsplikt til Datatilsynet hvis det har skjedd en uautorisert utlevering av konfidensielle personopplysninger. Meldingen skal gis skriftlig så snart som mulig etter at avviket er oppdaget. Med «uautorisert utlevering» menes at personopplysninger befinner seg utenfor den behandlingsansvarliges kontroll, og at personer som ikke er godkjent for tilgang til personopplysninger har fått (eller kan ha fått) tilgang.

Når EUs personvernforordning trer i kraft i mai 2018, skjerpes kravene til avvikshåndtering. Flere typer avvik må meldes til Datatilsynet og varselet må sendes innen 72 timer.

Les mer om avviksmeldinger til Datatilsynet.

Hva gjør personvernombudet?

NSD bistår forskningsinstitusjonene med avvikshåndtering på flere måter. Gjennom saksbehandling av enkeltprosjekter, bidrar vi til å forebygge avvik. Vi ser ofte at vår veiledning og dialog med forskere og studenter ved oppstart, endring og avslutning av prosjekter, bidrar til at lovbrudd unngås. Likevel hender det også at vi fra tid til annen oppdager avvik. Det kan være prosjekter som er påbegynt uten gyldig samtykke eller andre forhåndstillatelser, eller prosjekter der personopplysninger behandles til andre formål eller i en lengre periode enn tillatelsene dekker. Personvernombudet varsler da ledelsen ved forskningsinstitusjonen, slik at ledelsen får anledning til å rydde opp. Hvis ønskelig kan vi bistå ledelsen med avvikshåndteringen. Vi kan gi råd når ledelsen skal finne tiltak som begrenser skaden, og vurdere hvem som skal varsles, og vi kan hjelpe til i dialogen med Datatilsynet ved avvik som er varslingspliktig. Videre kan vi bistå når ledelsen skal analysere og lukke avviket, og finne tiltak for å unngå liknende avvik i fremtiden.

© NSD - Norsk senter for forskningsdata • Kontakt NSDPersonvern og informasjonskapsler (cookies)