Kort svar
Når et databrudd skjer hos databehandler, må både varsling, rolleforståelse og praktisk håndtering sitte. Uklare avtaler koster dyr tid i de første timene.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvordan roller og varslingsløp er regulert i avtalen, hvilke opplysninger virksomheten må få for å vurdere bruddet og hvordan kommunikasjon til registrerte og myndigheter samordnes.
Når dette blir aktuelt
- når virksomheten får melding om sikkerhetshendelse hos leverandør
- når flere databehandlere og underleverandører er involvert
- når ledelsen vil vite hvem som faktisk skal melde, vurdere og informere
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvordan roller og varslingsløp er regulert i avtalen | avgjør om hendelsen kan håndteres raskt |
| Hvilke opplysninger virksomheten må få for å vurdere bruddet | er viktig for å avgjøre konsekvenser og meldeplikt |
| Hvordan kommunikasjon til registrerte og myndigheter samordnes | reduserer risikoen for feil eller motstridende meldinger |
Slik bør dere gå fram
- Les avtalen og identifiser hvem som skal varsle hvem og innen hvilke frister.
- Be om konkret informasjon om omfang, berørte data, årsak og tiltak hos databehandler.
- Gjør egen vurdering av konsekvens og meldeplikt, ikke bare leverandørens vurdering.
- Dokumenter beslutninger, tiltak og kommunikasjon fra første time.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- databehandleravtale og hendelsesvarsel fra leverandør
- faktaark om berørte systemer, data og personer
- intern vurdering av konsekvens og eventuell meldeplikt
- kopi av meldinger til Datatilsynet og eventuelt berørte personer
Typiske feil
- behandlingsansvarlig lener seg for tungt på leverandørens vurdering
- varslingen fra databehandler er for vag og blir ikke utfordret
- kommunikasjonen til berørte sendes uten at fakta er tilstrekkelig verifisert
Når bør dere få konkret hjelp?
Når mange personer er berørt eller leverandørkjeden er kompleks, bør bruddet håndteres med tydelig kvalitetssikret rollefordeling fra start.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på databrudd hos databehandler i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Avvik og brudd på personopplysningssikkerheten: hva gjør du?
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
- Personvernerklæring: hvem trenger det og hva bør stå der?