| Du er her: Sentraladministrasjonen >
Administrative håndbøker >
Reglementshåndbok >
Personvern >
|
Som beskrevet i 12.1.1 defineres avvik på følgende måte: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.
Formålet med avvikshåndtering er å gjenopprette normal tilstand, fjerne årsaken til avviket, begrense skade og hindre gjentagelse.
UiO skal ha verktøy som oppdager avvik, det være seg avvik av teknisk, formell eller fysisk art. Avvikene skal håndteres etter predefinerte prosedyrer som den enkelte ansvarlige har etablert for den enkelte behandling. Prosedyren skal både inneholde informasjon om hvordan skaden begrenses og hvordan den registrerte eventuelt skal kontaktes/informeres (relevant lovverk: Personopplysningsloven § 13 og Personopplysningsforskriften § 2-6). Hvor dette er nødvendig kan en prosedyre avvike fra eksisterende standardprosedyrer etter avtale med behandlingsansvarliges representant. Prosedyrer skal dokumenteres som vedlegg/lenke til det aktuelle meldeskjemaet (se 12.3.5 eller 12.4.5).
For informasjon om forholdet mellom sentral og lokal vurdering og dokumentasjon av informasjonssikkerhet, se 12.1.3.
Hvis det vurderes som sannsynlig at den registrerte kan være skadelidende som følge av et avvik, skal den enkelte ansvarlige kontakte behandlingsansvarliges representant. I samråd skal disse diskutere de planlagte tiltakene, herunder informasjon til den registrerte.
Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles etter initiativ av behandlingsansvarliges representant.
Resultatet fra avviksbehandling skal dokumenteres av den enkelte ansvarlige og lagres hos behandlingsansvarliges representant.
Universitetsdirektøren er overordnet ansvarlig for håndtering av avvik ved UiO.
USIT er gitt ansvaret for å implementere og drifte verktøy for å oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for håndtering av disse, og håndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik.
Ansvaret for å implementere prosedyrer og verktøy for å oppdage og håndtere avvik som sådan påhviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.
UiOs standardprosedyre for håndtering av avvik ift. uberrettiget spredning av personopplysninger