Alle ansatte og elever skal melde fra når det oppdages avvik i behandling av personopplysninger

Hva er et avvik?
Det er et avvik når det skjer noe som gjør at personopplysninger kommer på avveie, går tapt eller endres uten kontroll. Dette er typisk når:

• personopplysninger behandles i strid med vedtatte rutiner eller retningslinjer, for eksempel i forbindelse med saksbehandling.
• det forekommer brudd på informasjonssikkerheten til personopplysningene, for eksempel ved urettmessig publisering av personopplysninger på nett

Eksempel på brudd er

• Noen har fått tak i brukernavn og passord til andre og har logget på som andre enn seg selv
• Hacking eller datainnbrudd, hvor personopplysninger har blitt hentet ut, er endret på eller er utilgjengelig, eller det er sannsynlig at dette har skjedd
• Tilgangsstyring feilet, er mangelfull eller manglende, slik at uvedkommende har fått tilgang til beskyttelsesverdige personopplysninger
• Personopplysninger som ikke skulle ha vært publisert har blitt lagt ut på en webside, eller at personopplysningene ikke har blitt anonymisert
• Feilsendinger
• Beskyttelsesverdige personopplysninger er sendt til feil mottaker pr post eller e-post
• Digitale forsendelser som avslører andres e-postadresse i en kontekst hvor mottakerne skal beskyttes
• Forsendelser er til riktig mottaker, men som ved en feil også inneholder beskyttelsesverdige personopplysninger om andre
• Fysisk innbrudd hvor ukrypterte digitale data eller papirdokumenter med personopplysninger er forsvunnet
• Mistet/gjenglemt/forlagt papirdokumenter, laptop, nettbrett eller telefoner der innholdet ikke er kryptert, minnepinner eller andre lagringsmedier der innholdet ikke er kryptert