Melde personvernavvik - Ansatt

Melde sikkerhetshendelser og personvernavvik

template.back.to.overview Melde sikkerhetshendelser og personvernavvik

Oppstår en sikkerhetshendelse eller et avvik knyttet til behandling av personopplysninger skal dette meldes om til sikkerhet@oslomet.no.

Hvorfor bør du melde hendelser og avvik?  

Du reduserer risikoen for flere hendelser og lovbrudd, legger grunnlaget for forbedring av rutiner, gir god sikkerhetskultur, reduserer konsekvenser av uheldige rutiner og systemer osv.

  • Hva bør jeg melde fra om?

    Eksempler: Ved usikkerhet er det viktig at det heller meldes en gang for mye enn en gang for lite.

    • Sensitive personopplysninger på avveie.

    • Tyveri og hacking av dataenheter og informasjon

    • Feilsendt e-post og vedlegg

    • Sending av ukryptert epost med sensitive personopplysninger.

    • Fødselsnummer som er sendt ukryptert per e-post eller gjort tilgjengelig åpent på nett.

    • Dersom du feilaktig har fått tilsendt sensitive personopplysninger om andre.

    • Brudd på lover, forskrifter og interne rutiner som omhandler informasjonssikkerhet og personvern, (se Policy for sikkerhet, informasjonssikkerhet og personvern).

    • Sikkerhetsrutiner eller tekniske sikkerhetstiltak som mangler, ikke fungerer eller som ikke følges og som derfor innebærer. brudd på personopplysningssikkerheten.

    • Signaturfremstillingsdata knyttet til virksomhetssertifikat på avveie, mistanke om tap eller fare for misbruk.

    • Feil i tilganger, utstyr eller programvare som kan svekke sikkerheten.

    • Data som ligger åpent/mangler tilgangsstyring og hvor det er krav til opplysningens konfidensialitet og/eller integritet.

    • Data som ligger åpent og som kan falle inn under eksportkontrollregelverket.

    • Publisering av personopplysninger uten rettslig grunnlag eller tilstrekkelig anonymisering.

    • Feilutlevering eller feilpublisering.

    • Mistet/gjenglemt/forlagt papirdokumenter, mobil, laptop, nettbrett, minnepinner (ikke kryptert) o.l.

    Se også informasjon på sikresiden.no, "Si fra"

  • Hvor og hvordan skal du melde personvernavvik og sikkerhetshendelser?

    Skjema om personvernavvik fylles ut og sendes så raskt som mulig til sikkerhet@oslomet.no. Du skal samtidig orientere din nærmeste leder.

    Uavklarte sikkerhetshendelser som for eksempel mistanke om hacking eller svindelforsøk på epost skal også meldes inn til sikkerhet@oslomet.no. Gi oss beskjed så raskt du kan! Dersom du ikke er direkte rammet trenger du ikke å fylle ut hele avviksskjemaet.

    Personvernavvik er definert som hendelser som innebærer brudd på personopplysningssikkerheten (datatilsynet.no).

    Se også:

  • Skjema for personvernavvik

    Avvikspunktene under kopieres, fylles ut og sendes på e-post til sikkerhet@oslomet.no.

    Kontaktinformasjon

    • Enhet som er berørt

    • Nærmeste leder ved enhet som er berørt

    • Enhet til melder av avviket

    • Nærmeste leder til melder av avviket

    Beskrivelse av avviket

    • Hva er hovedårsaken til avviket?
    • I hvilket tidsrom oppstod avviket?
    • Når ble avviket oppdaget?
    • Antall berørte personer
    • Beskrivelse av hva som har skjedd
    • Beskrivelse av hvilke typer personopplysninger som ble berørt
    • Hvilken relasjon har virksomheten til de berørte personene?
    • Beskrivelse av hvor personopplysningene befinner seg etter avviket

    Konsekvenser for virksomheten og den registrerte

    • Hvilke negative konsekvenser kan avviket få for virksomheten og de registrerte?
    • Tiltak (Hva gjøres for å redusere de negative konsekvensene for virksomheten og den registrerte?)
    • Informasjon – Innebærer avviket en så høy risiko for de berørte at informasjon til de berørte er nødvendig? Er dette i så fall sendt? Hvis nei, hvorfor ikke?

    Husk

    • Avviksmeldingen skal ikke inneholde personopplysninger knyttet til navn eller annen type informasjon der det kan være behov for konfidensialitet.
    • Avvik skal aldri rettes mot person, men mot det elementet eller handlingen i arbeidsprosessen som forårsaket sikkerhetsbruddet. Handlingen er «subjektet» i avviket, ikke personen.
  • Hvordan vurderes personvernavvik?

    OsloMet sentralt vurderer og avgjør om det har skjedd et brudd på personopplysningssikkerheten. Et brudd med middels eller høy risiko for den registrerte skal meldes til Datatilsynet innen 72 timer fra avviket ble oppdaget. Det er viktig å få tilstrekkelig informasjon til å gjøre denne vurderingen så raskt som mulig.

    I følge Datatilsynet (datatilsynet.no):

    • Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter». Den behandlingsansvarlige må være tilnærmet helt sikker på at bruddet ikke vil medføre eller har medført noen risiko for de berørte, for at unntaket skal være oppfylt. Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynet for sikkerhets skyld».

    • Dersom det er høy risiko, er det nødvendig å melde fra til Datatilsynet og informere de berørte.

    Hvis det tar tid for OsloMet å få svart ut alle spørsmålene, kan OsloMet sende inn en foreløpig melding til Datatilsynet og opplyse i meldingen at ytterligere informasjon vil bli ettersendt.

  • Mistanke om brudd på forskningsetikk og god forskningspraksis

    Enhver klage/påstand eller mistanke om brudd på forskningsetikk og god forskningspraksis fremsatt mot en av personene nevnt nedenfor, skal meldes skriftlig (.doc) til dekan/senterleder ved det fakultet/senter hvor vedkommende tilsatte har sin stilling. Studieleder skal være tilgjengelig for samtale før klage sendes dekan/senterleder.

    • Ansatt ved OsloMet.

    • En som søker tilsetting ved OsloMet.

    • En som er tatt opp ved et doktorgradsprogram eller førstelektorprogram ved OsloMet.

    • En som er tildelt eller skal tildeles en doktorgrad ved OsloMet.

    Se nettside om Forskningsetisk utvalg