Nye retningslinjer for avviksmeldinger
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om avvikshåndtering med eksempler på hva som er avvik etter personvernregelverket.
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om avvikshåndtering med eksempler på hva som er avvik etter personvernregelverket.
Retningslinjene handler om varsling av brudd på personopplysningssikkerheten og retter fokus på mer praksisorientert veiledning og anbefalinger enn tidligere retningslinjer. Retningslinjene skal gi mer klarhet i hvordan behandlingsansvarlige kan gå frem når de håndterer avvik og hvilke faktorer som bør vurderes i risikoanalysen. De utfyller tidligere retningslinjer gitt av den såkalte artikkel 29-gruppen sin veiledning om emnet.
Retningslinjene inneholder en oversikt over de mest vanlige kategoriene av avvikssaker som rapporteres til de forskjellige nasjonale tilsynsmyndighetene i EØS. Saker som går igjen er løsepengevirus (ransomware), uautorisert dataeksfiltrering, og stjålne eller mistede enheter og dokumenter. Retningslinjene inneholder blant annet god og dårlig praksis for de ulike avvikskategoriene, veiledning om identifisering og vurdering av risiko, og i hvilke tilfeller en behandlingsansvarlig skal varsle sin nasjonale tilsynsmyndighet og informere de berørte.
Retningslinjene ligger ute på offentlig høring frem til og med 2. mars. Både retningslinjene, og informasjon om hvordan man gir innspill, er tilgjengelig på EDPBs nettsider.