Manglende varsling av brudd på sikkerheten ved personvern er også en overtredelse av personvernregelverket, som kan bl.a. gi bøter. Riktig varsling og gode rutiner for å håndtere brudd, kan imidlertid redusere konsekvensene av bruddet og bøter. Alle virksomheter bør derfor ha rutiner for varsling på plass, men hvordan lager man slike? (spoiler: Du finner rutiner i denne artikkelen).
I går ble det kjent at en systemfeil gjorde at bekymringsmeldinger knyttet til barn ikke kom frem til barnevernet. Dette er veldig alvorlig for dem det gjelder, og feilen kan omfatte 244 kommuner. I saken kom det også frem at én av kommunene som er berørt av feilen meldte forholdet til Datatilsynet én måned etter forholdet var avdekket. Systemleverandøren, som da er databehandler, tok tak forholdet hele to måneder etter feilen var oppdaget.
Når det oppstår brudd på personopplysningssikkerheten, som i dette tilfelle ved at kritisk informasjon ikke er tilgjengelig i et system, så skal forholdet varsles til Datatilsynet så snart som mulig og senest innen 72 timer. Medfører bruddet høy risiko for personvernet, skal også den som personopplysningene gjelder (de «registrerte») varsles. Er det et databehandlerforhold, skal databehandler melde forholdet til behandlingsansvarlig så snart som mulig. Men det er behandlingsansvarlig (i dette tilfellet kommunene) som skal melde bruddet til Datatilsynet og de registrerte (se GDPR artikkel 33 og 34).
For at brudd skal fanges opp og håndteres riktig er det avgjørende at man har rutiner/prosedyrer om hvordan håndtere og varsle brudd. Fra det tidspunkt brudd oppdages, starter fristene for å melde bruddet. Da er det ofte dårlig med tid og det «koker» en del. Med gode rutiner har man noe å holde seg fast i og styre etter. Enhver virksomhet bør derfor ha rutiner for håndtering av personvernbrudd, så unngår man i det minste konsekvensene av å ikke ha varslet riktig (som også kan medføre bot i seg selv). Det har også vist seg at gode rutiner for å håndtere brudd kan redusere sanksjoner som bøter.
Slike prosedyrer/rutiner vil være en del av internkontrollrutinene i en virksomhet, som alle behandlingsansvarlig er pålagt å ha etter GDPR artikkel 32. Rutinene må være implementert i virksomheten, dvs. de må være tilgjengelige, kjente og må følges. Så bør det være kontroll på om rutinene er kjent og følges.
Nedenfor har jeg tatt inn et eksempel/enkel mal på prosedyrer for varsel ved personvernbrudd. Dette er kun en minimumsprosedyre, som må tilpasses den enkelte virksomhet, men som kan gi et utgangspunkt. Word-versjonen av dokumentet finnes på mine nettsider: sandtro.no. Innspill eller tilbakemeldinger må gjerne tas inn i kommentarfeltet nedenfor. Håper dette kan være til nytte, og kanskje bidra til at vi får færre tilsvarende situasjoner som den som omtales ovenfor.