Husk å melde GDPR-avvik innen 72 timer

Av Pål Karlsen 6. sep 2018

Norsk_Makulering_GDPR_shutterstock_1076530901-798499-edited

Forhåpentligvis er du blant dem som har fått et internt regelverk på plass for å følge bestemmelsene i den nye personopplysningsloven hvor EUs personvernforordning (GDPR) er innlemmet. I den daglige virksomheten vil du få en test på hvor godt dette regelverket er. Du må være forberedt på at det kan oppstå avvik. Slike avvik må meldes til datatilsynet straks de skjer.

Kravet i personopplysningsloven er at melding om avvik skal sendes så snart som mulig og senest innen 72 timer. Det skal skje skriftlig. Datatilsynet definerer avvik som «brudd på personopplysningssikkerheten». Vær særlig oppmerksom på at slike brudd kan oppstå når papirdokumenter kommer på avveie. Risikoen for det er stor. Undersøkelser viser at om lag 40 prosent av meldte brudd,  kommer fra behandling av slike dokumenter. Mest typisk er at de kastes i papirkurven og havner i søpla. Men de kan også komme på avveie når de blir gjenglemt ved printere og kopimaskiner, på møterom eller ved makuleringsmaskiner 

Hvis man har et sikkerhetsbrudd, skal man vurdere om det fører til risiko for at rettighetene til personer blir skadelidende. Er risikoen høy, bør det gis muntlig melding til datatilsynet før den skriftlige, slik at det kan handles raskt.

Hva skal meldes? 

Det er ikke alle brudd som skal meldes. Datatilsynet har derfor gitt noen råd om hvilke avvik det gjelder. Eksempler på brudd som gir meldeplikt er:

Hacking eller datainnbrudd, hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelig, eller at det er sannsynlig at dette har skjedd.

Tilgangsstyring feilet, er mangelfull eller manglende, slik at uvedkommende har fått tilgang til beskyttelsesverdige personopplysninger.

Nettpublisering av personopplysninger som ikke skulle ha vært publisert, eller at personopplysningene ikke har blitt anonymisert.

Fysisk innbrudd hvor ukrypterte digitale data eller papirdokumenter med personopplysninger er forsvunnet.

Kaste/kvitte seg med opplysninger uten sletting eller makulering

Mistet/gjenglemt/forlagt:

  • Papirdokumenter
  • Laptop, nettbrett eller telefoner der innholdet ikke er kryptert 
  • Minnepinner eller andre små lagringsmedier der innholdet ikke er kryptert

Informasjon til berørte

De som blir berørt av sikkerhetsbruddet, skal også informeres hvis risikoen er høy for at deres rettigheter eller friheter krenkes. Det er en høyere terskel for informasjon til berørte enn til datatilsynet. Melding til berørte er viktig for at de skal kunne foreta skadebegrensning når personopplysninger om dem har kommet på avveie.

Datatilsynet har utarbeidet flere guider i forbindelse med innføringen av GDPR.  Blant dem er det også en guide for avvikshåndtering.

Hvis du ønsker å ta en ekstra sjekk på om det regelverket dere har laget, oppfyller kravene i den nye personopplysningsloven, kan du laste ned Norsk Makulerings sjekkliste, som du finner lenker til på denne sida.

 

 LAST NED GRATIS SJEKKLISTE:EUs nye personvernforordning (GDPR)

Temaer: personopplysninger, GDPR, Makulering


Pål Karlsen's photo

Av: Pål Karlsen

Pål karlsen har jobbet som daglig leder i Norsk Makulering siden august 2016. Han har erfaring fra reklamebransjen hvor han var eier og daglig leder i Selskapet Markèr fra 1990 – 2000. Etter det har han vært 13 år i mediebransjen – både som adm. direktør i lokalavisen Sarpsborg Arbeiderblad, og som mediehusleder for (den gang) A-pressens aviser i Nedre Glomma og Halden. Fra 2013 – 2016 jobbet han for Ishockeyklubben Sparta Sarpsborg som daglig leder.

Epost

Kommentarer