Hensikt
Hensikten med dette dokumentet er å sikre at alle brudd på informasjonssikkerhet meldes i kommunens kvalitetssystem EQS og at alle brudd på personopplysningssikkerheten meldes til Datatilsynet senest innen 72 timer etter at bruddet ble oppdaget.
Dette dokumentet gjelder alle ansatte.
Arbeidsgiver har ansvaret for gjennomføringen.
Den som oppdager brudd på informasjonssikkerheten skal melde det straks i henhold til Avvik og uønskede hendelser - Registreringsprosedyre. Dersom du trenger hjelp fra IT, kan du melde feil her.
Avvik og brudd på personopplysningssikkerheten er alle hendelser som vil kunne forårsake skade for offentlige interesser, en bedrift, en insititusjon eller en enkeltperson, dersom den fører til at informasjonen blir kjent eller endret av uvedkommende, eller at informasjonen blir utilgjengelig for de som trenger den.
Et brudd på personopplysningssikkerheten kan kategoriseres i:
Brudd på konfidensialitet, det vil si at det har vært en utilsiktet eller ulovlig utlevering av, eller tilgang til, personopplysninger.
Brudd på integritet, det vil si at det har vært en utilsiktet eller ulovlig endring av personopplysninger.
Brudd på tilgjengelighet, det vil si der det har vært et utilsiktet eller ulovlig tap av tilgang til, eller sletting av, personopplysninger.
Et brudd kan omfatte én, eller en kombinasjon av disse tre kategoriene. Det avhenger av omstendighetene.
Den enkelte enhet må fastsette sine krav og forventninger til tilgjengelighet, konfidensialitet (beskyttelse mot uønsket innsyn) og integritet (beskyttelse mot uønskede endringer). Avvik vil være hendelser som bryter med disse forventningene.
Eksempler på avvik er:
Den som oppdager et avvik skal straks melde avviket muntlig til nærmeste leder for videre håndtering og oppfølging. Om mulig forsøke å redusere skadeomfanget ved å iverksette strakstiltak. Avviket rapporteres snares i kvalitetssystemet.
For ytterligere informasjon om håndtering av avvik i Kristiansand kommune, se Kvalitetssystemet - systembeskrivelse
Avvik som gjelder brudd på personopplysningssikkerheten sendes via kvalitetssystemet til nærmeste leder og kopi med lesetilgang sendes til personvernombudet. Avvik skal vurderes av leder og personvernombudet kontaktes for rådgivning. Personvernombudet kan anbefale tiltak og bistår dersom det er nødvendig å melde hendelsen til Datatilsynet. Alle avvik som er lav alvorlighet skal vurderes sendt datatilsynet. Avvik som er moderat alvorlig eller høyere skal sendes til Datatilsynet. Direktør og/eller kommunedirektør bestemmer om det skal sendes Datatilsynet.
Ansvarlige som behandler avvikene bruker lenken til Datatilsynet som ligger i kvalitetssystemet hvor en veiledes hvordan avvikene skal vurderes og behandles.
Når man skal sende avvik til Datatilsynet så kan det gjøres via Altinn.no eller direkte som autotekst i P360 og SvarUt tjenesten. Alle avvik som meldes skal også lagres i P360. Kopi av avvik sendt til Datatilsynet skal sendes til IKTsikkerhetsgruppen@kristiansand.kommune.no og personvernombud@kristiansand.kommune.no.
Brudd på personopplysningssikkerheten skal meldes til Datatilsynet uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det. Dersom bruddet ikke meldes innen 72 timer, skal årsakene til forsinkelsen oppgis.
Trinnvis melding
Dersom dere ikke har mulighet til å gi full informasjon om bruddet innen tidsfristen på 72 timer, kan dere melde bruddet trinnvis. I så fall må dere opplyse om det i den første meldingen, i tillegg til å gi all den informasjonen dere har om bruddet. Deretter må dere følge opp meldingen med ytterligere informasjon så snart dere har den. Dere har selv plikt til å følge opp en trinnvis melding.
Eksempler på avvik som skal sendes til datatilsynet finner du her.