Rutiner ved avvik
Det at dere ikke har registrert noen avvik i arbeidet med personvern, er ikke nødvendigvis bra. Rutiner for å registrere og melde avvik viser at en organisasjon har gode rutiner og vet hva som er riktig og gal håndtering av personopplysninger.
Lovverket sier at avvik skal meldes Datatilsynet innen 72 timer. Samtidig må dere ta en gjennomgang av avviket, hvor og hvorfor feilen skjedde og hvordan dere skal bedre rutinene for å unngå at sammen feilen skjer igjen. I visse tilfeller må berørte personer varsles om avviket.
Etter de nye reglene skal en avviksmelding til Datatilsynet inneholde:
- Beskrivelse av avviket, hvilke personer og personopplysninger som er berørt.
- En oversikt over hvor mange personer/personopplysninger som er berørt.
- En beskrivelse av hvilke konsekvenser avviket trolig vil ha.
- En beskrivelse av hva dere vil gjøre for å «lukke» avviket og begrense konsekvensene av det.
- Kontaktperson i organisasjonen.
Eksempler på avvik:
- Skjema med helseopplysninger om alle speiderne i en speidergruppe forsvinner på leir.
- En liste med oversikt over ulike allergier hos påmeldte til kurs til helgens arrangement blir liggende på kopimaskinen hele dagen.
- Ansattes bærbare PC blir stjålet.
Skjema for melding om avvik på Altinn (DPA-01):
https://www.altinn.no/skjemaoversikt/datatilsynet/melding-om-avvik-datatilsynet/