Et avvik er en uheldig hendelse eller et regelbrudd, og er noe som skjer i alle virksomheter. Brudd på disse reglene, og internkontrollen for øvrig, skal rapporteres til sikkerhetsansvarlig som avvik.
Veiledning om håndtering av avvik med melding til Datatilsynet og informasjon til de berørte finnes på Datatilsynets nettsider https://www.datatilsynet.no/
Avvik kan være:
- Brudd på gjeldende rutiner eller regelverk
- Hendelser som kan ha konsekvenser for informasjonssikkerheten vår
- Utført av ansatte, som brudd på sikkerhetsbestemmelser (bevisst eller ubevisst)
- Utført av eksterne, som fysisk innbrudd eller elektroniske angrep
Personvernforordningen artikkel 32 og 33 stiller krav om at vi håndterer hendelser og brudd på personopplysningssikkerheten. Vi må behandle avvikene for å:
- Lære av feil og hendelser
- Håndtere hendelser og gjenopprette normaltilstand
- Forbedre systemer og rutiner
Feil i programvare og maskinvare regnes ikke som avvik i denne sammenhengen, og rapporteres til IT-drift.
Rapportering
Alle ansatte er ansvarlig for å rapportere avvik til den ansvarlige leder. Det skal være en lav terskel for å rapportere avvik. Meld også fra om situasjoner hvor noe kunne gått galt, slik at vi kan forbedre oss.
Avvik kan meldes enten på e-post til (dersom innholdet ikke er kritisk mht. konfidensialitet), eller leveres på eget skjema i Compilo (finnes på kommunens hjemmeside).
Dersom det er grunn til å anta at det haster med å håndtere avviket, skal den ansvarlige i tillegg orienteres direkte.
Dersom den ansvarlige leder ikke er tilgjengelig, og den ansatte vurderer at det haster med å melde fra, varsles kommunedirektøren.
Kontakt alltid personvernombudet for råd:
Kontaktinformasjon:
Sikri
v/Bjørn Nilsen
Personvernombud
Mobil: +47 90689838
E-post: bjorn.nilsen@sikri.no
Behandling av rapporterte avvik
Den ansvarlige leder er ansvarlig for oppfølgingen av meldte avvik, og skal:
- Arkivere mottatte avvik
- Varsle kommunedirektør/leder for avdelingen ved behov.
- Vurdere det meldte avviket og om nødvendig ta initiativ til korrigerende tiltak
- Dersom det har skjedd et brudd på personopplysningssikkerheten, vurdere hvilken risiko det er for de berørtes rettigheter og friheter
- Dersom det er ingen eller lav risiko, er det ikke behov for å melde fra til Datatilsynet eller til de berørte
- Dersom det er middels risiko, er det nødvendig å melde fra til Datatilsynet, men ikke informere de berørte
- Dersom det er høy risiko, er det nødvendig å melde fra til Datatilsynet og informere de berørte
- Føre en løpende oppdatert oversikt over meldte avvik. Oversikten skal minimum inneholde:
- Dato
- Beskrivelse
- Melder
- Type
- Alvorlighet
- Status
- Gjennomførte og planlagte tiltak
- Frist for neste oppfølgingspunkt
- Kommentarer
- Dersom den ansvarlige leder vurderer det som nødvendig, skal det iverksettes korrigerende tiltak. Slike tiltak kan primært bestå i ett eller flere av følgende elementer:
- Oppfølging av den ansatte som har forårsaket avviket
- Bedre informasjon til alle
- Vurdering og eventuell utbedring av rutiner
- Tekniske sårbarheter utbedres / begrenses
- Varsling av eksterne parter
- Dersom lukking av avviket kan påvirke Deanu gielda/Tana kommunes omdømme, relasjon til eksterne parter, økonomiske situasjon eller lignende, skal kommunedirektøren godkjenne dette før tiltak iverksettes.
Noen avvik må følges opp overfor ansatte som har forårsaket avviket, utover informasjon/opplæring av nærmeste leder.
Følgende avvik skal følges opp overfor den ansatte av nærmeste leder:
- Brudd på taushetsplikt
- Bevisste sikkerhetsbrudd:
- Misbruk av virksomhetens IKT-systemer
- Tyveri av virksomhetens eiendom
- Tilsiktet spredning av ondsinnet programvare
- Forsøk på å sende sensitive personopplysninger i e-post/vedlegg
- Reaksjonsformen må konkret vurderes, blant annet med hensyn til:
- Om avviket har resultert i uønskede hendelser, eventuelt i hvilket omfang
- Om avviket er eller kan bli til skade for virksomheten
- Om avviket har vært gjentatt
- Om overtredelsen synes å være uaktsom eller forsettlig
- Mulig reaksjonsformer:
- Den ansvarlige leder tar avviket opp med vedkommende.
- Avviket tas opp av nærmeste overordnet med den eller de som er årsak til avviket. Kommunedirektøren informeres.
Avviket medfører en skriftlig advarsel til den eller de som er årsak til avviket. Advarselen gis etter at den eller disse har fått gitt en redegjørelse for avvik
Alle innbrudd og forsøk på innbrudd skal politianmeldes.
Alle elektroniske angrep som medfører økonomiske konsekvenser for virksomhet, skal vurderes anmeldt til Politiet.
Beredskapshendelser
Disse meldes til utviklingsavdelingen ved leder (beredskapsleder) som skal håndtere alle beredskapshendelser og rapportere dette på eget skjema.
Laster...