KI 0788 Hva skjer når du melder et avvik i informasjonssikkerhet eller personvern?

Avviksmeldingen for personvern og informasjonssikkerhet går til en lukket gruppe, der kun Personvernombud, IT-direktør og IT-sikkerhetsansvarlig i utgangspunktet har tilgang.

Siden slike avvik, kan medføre meldeplikt til Datatilsynet, blir det også sendt sms til de som har de nevnte funksjoner. Dersom avviket blir vurdert å være av en slik karakter at det skal meldes til Datatilsynet, så skal dette skje innen 72 timer etter at avviket ble oppdaget. Avgjørelse om hvorvidt bruddet skal meldes, gjøres av Personvernombudet og andre som blir utpekt til å finne ut av hva som har skjedd og hvilke konsekvenser dette kan få for personer eller UiB som institusjon.

Årsakene til avviket må avdekkes, det settes inn mulige strakstiltak og deretter lages det en permanent løsning for å hindre seinere brudd på personvern/informasjonssikkerhet.

Brudd på informasjonssikkerhet innebærer ofte brudd på personvern, men IT-sikkerhet omhandler også mye som ikke er relatert til personvern. Slike saker skal meldes på vanlig måte til Brita og blir håndtert av den faggruppen/det fagområdet det sorterer under. Det kan være vanskelig å skjønne når noe er et avvik og noe er en hendelse. Det viktigste er at du melder fra, så tar IT-avdelingen eller andre tak i varselet og avgjør videre saksgang.