Kort svar
Ved personvernbrudd må dere både stanse skaden, forstå omfanget og avgjøre om Datatilsynet og de registrerte skal varsles.
Start med å få kontroll på hva som faktisk har skjedd, hvilken risiko bruddet skaper og hvordan hendelsen dokumenteres og følges opp, slik at ansvar, frister og dokumentasjon henger sammen.
Når dette ofte blir aktuelt
- når dere skal gjennomføre et løp som berører hva som faktisk har skjedd
- når ansvar, varsling eller frister rundt hvilken risiko bruddet skaper må avklares
- når dere trenger et ryddig spor for hvordan hendelsen dokumenteres og følges opp
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hva som faktisk har skjedd | avgjør hva som må skje først |
| Hvilken risiko bruddet skaper | sier noe om hvem som må involveres og varsles |
| Hvordan hendelsen dokumenteres og følges opp | reduserer risikoen for hull i dokumentasjonen |
Praktisk framgangsmåte
- Lag en enkel plan med ansvar, frister og tydelige beslutningspunkter.
- Samle faktagrunnlag og dokumenter knyttet til hva som faktisk har skjedd.
- Avklar hvilke steg, varsler eller innsendelser som følger av hvilken risiko bruddet skaper.
- Kontroller at sluttresultatet også dekker hvordan hendelsen dokumenteres og følges opp.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- hendelseslogg, tiltak og vurdering av risiko
- utkast eller kopi av melding til Datatilsynet
- kartlegging av hvilke personopplysninger virksomheten behandler
- rutiner, policyer og avtaler som styrer behandlingen
Vanlige feil
- ansvar for framdrift, varsling og signering er uklart
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis flere roller, formelle vedtak eller myndighetsmeldinger må koordineres samtidig.
Relaterte guider
- Databrudd hos databehandler: hvem gjør hva?
- Kundedata i AI-verktøy: hva må bedriften avklare?
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?