Kort svar
Når et databrudd skjer hos databehandler, må både varsling, rolleforståelse og praktisk håndtering sitte. Uklare avtaler koster dyr tid i de første timene.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvordan roller og varslingsløp er regulert i avtalen, hvilke opplysninger virksomheten må få for å vurdere bruddet og hvordan kommunikasjon til registrerte og myndigheter samordnes.
Når dette blir aktuelt
- når virksomheten får melding om sikkerhetshendelse hos leverandør
- når flere databehandlere og underleverandører er involvert
- når ledelsen vil vite hvem som faktisk skal melde, vurdere og informere
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvordan roller og varslingsløp er regulert i avtalen | avgjør om hendelsen kan håndteres raskt |
| Hvilke opplysninger virksomheten må få for å vurdere bruddet | er viktig for å avgjøre konsekvenser og meldeplikt |
| Hvordan kommunikasjon til registrerte og myndigheter samordnes | reduserer risikoen for feil eller motstridende meldinger |
Slik bør dere gå fram
- Les avtalen og identifiser hvem som skal varsle hvem og innen hvilke frister.
- Be om konkret informasjon om omfang, berørte data, årsak og tiltak hos databehandler.
- Gjør egen vurdering av konsekvens og meldeplikt, ikke bare leverandørens vurdering.
- Dokumenter beslutninger, tiltak og kommunikasjon fra første time.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- databehandleravtale og hendelsesvarsel fra leverandør
- faktaark om berørte systemer, data og personer
- intern vurdering av konsekvens og eventuell meldeplikt
- kopi av meldinger til Datatilsynet og eventuelt berørte personer
Typiske feil
- behandlingsansvarlig lener seg for tungt på leverandørens vurdering
- varslingen fra databehandler er for vag og blir ikke utfordret
- kommunikasjonen til berørte sendes uten at fakta er tilstrekkelig verifisert
Når bør dere få konkret hjelp?
Når mange personer er berørt eller leverandørkjeden er kompleks, bør bruddet håndteres med tydelig kvalitetssikret rollefordeling fra start.
Relaterte guider
- Avvik og brudd på personopplysningssikkerheten: hva gjør du?
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
- Personvernerklæring: hvem trenger det og hva bør stå der?