Hvordan følge opp bruddet internt?
Brudd på personopplysningssikkerheten skal alltid følges opp internt.
Brudd på personopplysningssikkerheten skal alltid følges opp internt.
Den behandlingsansvarlige har et selvstendig ansvar for å sikre og dokumentere at virksomheten oppfyller kravene i personvernforordningen.
Det skal være etablert et styringssystem for håndtering av brudd på personopplysningssikkerheten. Det innebærer at den behandlingsansvarlige skal dokumentere vurderingene virksomheten gjør når det oppstår brudd på personopplysningssikkerheten.
Les om etablering av internkontroll
Hvis brudd på personopplysningssikkerheten oppdages, må virksomheten vurdere om de tekniske og organisatoriske tiltakene som er etablert, er effektive og fungerer slik de skal. Hvis den behandlingsansvarlige ser at tiltakene er mangelfulle, må virksomheten få på plass nye tiltak som sikrer at kravene i personvernforordningen blir oppfylt, og som sikrer de berørte sine rettigheter og friheter. Nye tiltak må dokumenteres og følges opp med god opplæring.
Den behandlingsansvarlige må vurdere hvilken risiko bruddet på personopplysningssikkerheten innebærer for de som er berørt. Det må også vurderes om de som er berørt må varsles om det som har skjedd.
Dersom det har skjedd et sikkerhetsbrudd eller -hendelse, og dere er usikre på om det skal meldes til Datatilsynet, undersøk først:
Et brudd på personopplysningssikkerheten er alltid et brudd på sikkerheten, men et brudd på sikkerheten er ikke alltid et brudd på personopplysningssikkerheten. Sørg for at dere har interne rutiner for å:
Brudd på personopplysningssikkerheten skal alltid håndteres internt. Dersom det ikke meldes til Datatilsynet eller de berørte ikke varsles, skal det begrunnes i en intern rapport i egen virksomhet.