Meld fra om avvik
Avvik meldes til UiO-CERT og behandlingsansvarlig.
1. Rutine ved mistanke eller bekreftelse av avvik
I) Enhver som behandler personopplysninger p? vegne av UiO skal straks vedkommende har mistanke om at personopplysninger har kommet p? avveie melde i fra om dette til sin n?rmeste leder. N?rmeste leder eller leder ved enheten har ansvar for ? kontakte UiO-CERT ved ? fylle ut skjema for varsling av feil behandling av personopplysninger; brudd p? intern rutine eller lovverk. UiO-CERT s?rger for at hendelsen h?ndteres og at skadebegrensende tiltak iverksettes.
II) Behandlingsansvarlig vil vurdere hendelsen og eventuelt kontakte:
- Personvernombud
- Universitetsdirekt?r og eventuelt andre fagdirekt?rer
- Datatilsynet
I de aller fleste tilfeller skal IT-direkt?ren f?lge opp saken.
2. Standardprosedyre for h?ndtering av avvik ift. uberettiget spredning av personopplysninger
Gjelder for: Enhver som behandler personopplysninger p? vegne av UiO
N?r et avvik er oppdaget skal oppf?lgingen loggf?res fortl?pende og saken h?ndteres som f?lger:
Kartlegg hvilke opplysninger som har v?rt tilgjengelige for hvem.
Det skal kartlegges hvilke type opplysninger avviket dreier seg om, hvem de registrerte er samt hvor opplysningene stammer fra.
Fjerne tilgang for gjeldende dokument/tjeneste
Uberettiget tilgang til opplysningene skal fjernes. Opplysninger det ikke er behov for, eller kopier av slike, v?re deg seg fysiske eller digitale, skal straks slettes.
Kartlegge hvem som har aksessert informasjonen
Via tilgjengelige logger skal det kartlegges hvem som har aksessert informasjonen.
N?r deling har skjedd via web:
- Sjekke aksesslogger og kartlegge hvem som har lest informasjonen
- Dersom s?kemotorer har indeksert informasjonen skal de kontaktes og bes om at de reindekserer informasjonen.
- Dette gjelder ogs? selv om data ikke er synlige gjennom s?ketjenesten, kun indeksert.
- Vurdere ut fra aksesslogger om andre skal kontaktes.
- I en periode etterp? skal man sjekke manuelt om opplysningene blir gjort tilgjengelige igjen via s?kemotorer:
- uke 1: sjekkes daglig
- uke 2-8: sjekkes ukentlig
- m?ned 3-12: sjekkes m?nedlig
Informasjon til de registrerte
Som hovedregel skal alle varsles om hendelsen. Om praktiske eller andre ?rsaker vanskeliggj?r dette skal behandlingsansvarlig foreta en konkret vurdering av hva slags varsling som er n?dvendig.
Informasjon til ?vrige
IT-direkt?ren kan i samr?d med kommunikasjonsdirekt?ren vurdere om noen av f?lgende skal informeres:
- Ansatte ved UiO
- Studenter ved UiO
- Media
Rapport
Etter hendelsen skal den ber?rte avdeling i 亚博娱乐官网_亚博pt手机客户端登录 med behandlingsansvarlig skrive en rapport som dokumenterer hva som har skjedd og hvilke tiltak som er gjort. Rapporten skal sendes Personvernombudet. Personvernombudet vurderer om den skal videresendes Datatilsynet.