Gjennomføring av risikovurdering og etablering av tiltak vil aldri kunne forebygge alle uønskede hendelser. Når en hendelse oppstår eller et brudd avdekkes, skal virksomheten på en systematisk måte registrere, håndtere og følge opp hendelsen.
Uønskede hendelser eller brudd på personvern eller informasjonssikkerhet skal behandles som avvik. Virksomhetens ledelse skal behandle avvik for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Manglende eller uhensiktsmessige rutiner bør også håndteres som avvik.
Det er viktig at det jobbes aktivt for å få oversikt over alle avvik i virksomheten og at det er gode rutiner for hvordan avvik håndteres. Alle i virksomheten, inkludert administrativt personell, skal være kjent med hvordan og til hvem avvikene meldes.
Alle avvik skal dokumenteres. Om virksomheten allerede har et avvikssystem vil det være hensiktsmessig å benytte dette også på personvernområdet.
Risikoen for personen (den registrerte) avviket gjelder, skal vurderes. Dersom avviket er et brudd på personopplysningssikkerheten og har medført middels eller høy risiko for personen, skal avviket rapporteres til Datatilsynet innen 72 timer etter å ha fått kjennskap til det.
Ved høy risiko for personen skal avviket også meldes til personen. Les mer om avviksbehandling i Normens veileder om internkontroll for informasjonssikkerhet og personvern.
Her kan du melde avvik til Datatilsynet (datatilsynet.no)
Eksempler
Tre eksempler på avvik fra Normland Helsesenter:
Eksempel 1 Maren mottar en klage fra en pasient. Pasienten har fått et prøvesvar i posten fra Helsenteret. På side to hadde det ved en feiltakelse kommet et annet prøvesvar som gjaldt en annen pasient.
Prøven gjaldt svar på en HIV-test. Maren tar det opp med Lena. Hun ber Maren dokumentere hendelsen som et avvik i internkontrollsystemet. Sammen vurderte de avviket til å være høy risiko for pasienten. Lena melder videre avviket til Datatilsynet, via Altinn. Hun gjør det samme dag, for å være helt sikker på at det gjøres innen 72 timer. Siden avviket er høy risiko, meldes avviket også til de registrerte.
|
Eksempel 2 Dagen etterpå dukker det opp en annen henvendelse fra vergen til en av pasientene på Helsesentret. Vergen som er advokat fikk tilsendt dokumenter om en annen pasient enn den advokaten var verge for. Det viser seg nemlig at Helsesenteret har to pasienter med verger fra samme advokatfirma. Advokaten meldte at hun hadde makulert dokumentene og viste til sin lovpålagte taushetsplikt.
Maren fikk beskjed av Lars om å dokumentere hendelsen som et avvik i internkontrollsystemet, og endret i ettertid på rutinen sin for oversendelse av dokumenter. De vurderte hendelsen til å være lav risiko pga. advokatens taushetsplikt og meldte dette ikke videre til Datatilsynet |
Eksempel 3 Uken etterpå kom Maren på jobb og oppdaget at en ansatt hadde glemt å lukke vinduet til legekontoret dagen før. Det var ingen tegn til at uvedkommende hadde tatt seg inn i lokalet. Maren dokumenterte også denne hendelsen som et avvik i internkontrollsystemet. De vurderte hendelsen til å være lav risiko og meldte ikke videre til Datatilsynet.
Normland Helsesenter blir rammet av et kryptovirus som krypterer filserveren deriblant innkomne prøvesvar. Disse prøvesvarene er ikke sendt ut til pasientene. Normland hadde heldigvis backup og får tilbake alle filene. De går gjennom filene og sjekker at det ikke er et integritetsbrudd. |
