H氓ndtere avvik ved behandling av personopplysninger

Meld fra om avvik

Avvik meldes til UiO-CERT og behandlingsansvarlig.

1. Rutine ved mistanke eller bekreftelse av avvik

I) Enhver som behandler personopplysninger p氓 vegne av UiO skal straks vedkommende har mistanke om at personopplysninger har kommet p氓 avveie melde i fra om dette til sin n忙rmeste leder. N忙rmeste leder eller leder ved enheten har ansvar for 氓 kontakte UiO-CERT ved 氓 fylle ut . UiO-CERT s酶rger for at hendelsen h氓ndteres og at skadebegrensende tiltak iverksettes.

II) Behandlingsansvarlig vil vurdere hendelsen og eventuelt kontakte:

Personvernombud
Universitetsdirekt酶r og eventuelt andre fagdirekt酶rer
Datatilsynet

I de aller fleste tilfeller skal IT-direkt酶ren f酶lge opp saken.

2. Standardprosedyre for h氓ndtering av avvik ift. uberettiget spredning av personopplysninger

Gjelder for: Enhver som behandler personopplysninger p氓 vegne av UiO
N氓r et avvik er oppdaget skal oppf酶lgingen loggf酶res fortl酶pende og saken h氓ndteres som f酶lger:

Kartlegg hvilke opplysninger som har v忙rt tilgjengelige for hvem.

Det skal kartlegges hvilke type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.

Fjerne tilgang for gjeldende dokument/tjeneste

Uberettiget tilgang til opplysningene skal fjernes. Opplysninger det ikke er behov for, eller kopier av slike, v忙re deg seg fysiske eller digitale, skal straks slettes.

Kartlegge hvem som har aksessert informasjonen

Via tilgjengelige logger skal det kartlegges hvem som har aksessert informasjonen.

N氓r deling har skjedd via web:

Sjekke aksesslogger og kartlegge hvem som har lest informasjonen
Dersom s酶kemotorer har indeksert informasjonen skal de kontaktes og bes om at de reindekserer informasjonen.
- Dette gjelder ogs氓 selv om data ikke er synlige gjennom s酶ketjenesten, kun indeksert.
Vurdere ut fra aksesslogger om andre skal kontaktes.
I en periode etterp氓 skal man sjekke manuelt om opplysningene blir gjort tilgjengelige igjen via s酶kemotorer:
- uke 1: sjekkes daglig
- uke 2-8: sjekkes ukentlig
- m氓ned 3-12: sjekkes m氓nedlig

Informasjon til de registrerte

Som hovedregel skal alle varsles om hendelsen. Om praktiske eller andre 氓rsaker vanskeliggj酶r dette skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er n酶dvendig.

Informasjon til 酶vrige

IT-direkt酶ren kan i samr氓d med kommunikasjonsdirekt酶ren vurdere om noen av f酶lgende skal informeres:

Ansatte ved UiO
Studenter ved UiO
Media

Rapport

Etter hendelsen skal den ber酶rte avdeling i samarbeid med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal sendes Personvernombudet. Personvernombudet vurderer om den skal videresendes Datatilsynet.

Publisert 7. nov. 2016 14:09 - Sist endret 25. jan. 2021 14:11

探花精选

础谤产别颈诲蝉蝉迟酶迟迟别

Ansettelsesforhold

Drift og kontorst酶tte

Kompetanseutvikling

UiO-nettverk og lederm酶ter

Interne enhetssider