Nye retningslinjer for avviksmeldinger
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om avvikshåndtering. Der kommer de blant annet med eksempler på brudd på personopplysningssikkerheten etter personvernregelverket.
Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om avvikshåndtering. Der kommer de blant annet med eksempler på brudd på personopplysningssikkerheten etter personvernregelverket.
Retningslinjene handler om varsling av brudd på personopplysningssikkerheten, og består av praksisorientert og case-basert veiledning og anbefalinger. Målet er å hjelpe behandlingsansvarlige med å bestemme hvordan de skal håndtere typiske databrudd, samt synliggjøre hvilke faktorer som bør tas med i en risikovurdering. De utfyller dermed tidligere retningslinjer gitt av den såkalte artikkel 29-gruppen, som hadde mindre fokus på praksis og som ikke inneholder konkrete eksempler.
Det er i henhold til artikkel 33 og 34 i personvernforordningen at en behandlingsansvarlig skal rapportere om visse brudd på personopplysningssikkerheten til den nasjonale datatilsynsmyndigheten og i enkelte tilfeller informere de berørte personene.
Les mer om avvikshåndtering på vår samleside
Disse retningslinjene er strukturert etter og går gjennom eksempler i henhold til visse kategorier brudd, deriblant løsepengevirus (ransomware), uautorisert dataeksfiltrering, menneskelige feil og stjålne eller mistede enheter og dokumenter. Selv om sakene som presenteres er fiktive, er de basert på typiske saker fra de nasjonale tilsynsmyndighetenes erfaring med brudd på personopplysningssikkerheten og etterfølgende avvikshåndtering.
Retningslinjene er oppdatert for å implementere og gjenspeile mottatte høringsinnspill.
Retningslinjene "Guidelines on Examples regarding Personal Data Breach Notification" er tilgjengelig på EDPB sine nettsider (edpb.europa.eu).