5.8.1 Avvikshåndtering
Uønskede hendelser (for eksempel brudd på rutiner, personvernet eller informasjonssikkerheten) skal behandles som avvik. Avvik skal behandles for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Virksomheten skal ha rutiner for å oppdage og håndtere avvik. Avviksbehandlingen skal være dokumentert.
Virksomheten skal samle inn fakta om hendelsesforløpet for etablering av korrigerende tiltak. Effekten av korrigerende tiltak skal vurderes og eventuelle andre tiltak settes i verk ved behov.
Ved alvorlige eller gjentatte avvik skal det gjennomføres ny risikovurdering.
Avviksmeldinger som inneholder personopplysninger eller informasjon med betydning for informasjonssikkerheten, skal sikres.
I Normen omtales rapportering av avvik på personvern og informasjonssikkerhet til Datatilsynet og Statens helsetilsyn. Noen avvik skal rapporteres til andre tilsynsmyndigheter og myndigheter.
5.8.2 Brudd på personopplysningssikkerhet
Brudd på personopplysningssikkerheten er avvik som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
5.8.2.1 Melding til Datatilsynet
Dersom avviket er et brudd på personopplysningssikkerheten skal avviket rapporteres til Datatilsynet innen 72 timer, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og rettigheter.
For detaljerte regler, unntak fra meldeplikten og metode for å melde se: Hvordan melde brudd på personopplysningssikkerheten (avvik) ((www.datatilsynet.no)
5.8.2.2 Underretting til den registrerte
Dersom det er sannsynlig at avviket har eller vil føre til høy risiko for den registrerte, skal virksomheten underrette vedkommende.
Virksomheten skal som minimum gi den registrerte følgende informasjon:
- Beskrivelse av bruddet
- Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes
- Beskrivelse av de sannsynlige konsekvensene av bruddet
- Beskrivelse av de tiltakene som virksomheten har truffet eller foreslår å sette i gang for å håndtere bruddet, inkludert (dersom det er relevant) tiltak for å redusere eventuelle skadevirkninger som følge av bruddet
Virksomheten bør så langt det er mulig, ta direkte kontakt med den registrerte.
5.8.3 Varsel til Statens helsetilsyn
Virksomheter som yter helse- og omsorgstjenester, skal varsle Statens helsetilsyn om avvik som følge av feil og avvik på informasjonssystemer. Varslingsplikten utløses
- ved dødsfall eller svært alvorlig skade på pasient eller bruker
- som følge av ytelse av helse- og omsorgstjenester
- når utfallet er uventet ut fra påregnelig risiko
Ved slike hendelser skal virksomheten
- følge opp og informere pasienter og pårørende
- gjennomgå hendelsen
- identifisere og følge opp risikoreduserende tiltak
For detaljerte regler og metode for å melde se: Meld om uønskede hendelser i helse- og omsorgstjenesten (melde.no)
