GDPR-Avviks-Sjekken™ PRO

GDPR-Avviks-Sjekken™ PRO v3.2 – Styringsportalen™

Verktøyet er lisensiert til internkontrollportalen.no

Denne kopien kjører på et uautorisert domene og er deaktivert. GDPR-Avviks-Sjekken™ PRO er et beskyttet verktøy fra Internkontroll AS. Kontakt srh@internkontrollportalen.no for lisensiering.

Rolle- og pliktbasert vurdering av personvernbrudd: meldeplikt til Datatilsynet (art. 33), varslingsplikt til de registrerte (art. 34) og databehandlers varslingsplikt (art. 33(2)) – med 72-timers frist og arkivklar rapport.

PRO v3.2 GDPR art. 33 · 34 · 33(2) · 33(4) · 33(5)

internkontrollportalen.no
Styringsportalen™

Tid igjen av 72-timersfristen (GDPR art. 33)

--:--:--

Fristen løper sammenhengende – også i helger og på helligdager.

1Oppsett & rolle

2Hendelse

3Risikovurdering

4Konklusjon

5Rapport

Du har en uferdig vurdering lagret på denne enheten.

Autolagring aktiv – data lagres lokalt på din enhet

🔒 Innebygd personvern – ingenting sendes til oss Verktøyet kjører i sin helhet i din egen nettleser. Ingen opplysninger sendes til Internkontroll AS eller noen server. Alt du legger inn lagres kun lokalt på din enhet (nettleserens lagring), slik at du kan fortsette der du slapp. Du kan når som helst ta vare på saken ved å skrive ut/PDF, eller laste den ned som en datafil som enkelt kan importeres i eget avviks- eller kvalitetssystem. Lukker du nettleseren uten å lagre, forblir dataene kun på denne enheten. Tømmer du nettleserdata, slettes de.

Trinn 1 – Oppsett og rolle i behandlingen

Ansvarlig for vurderingen *

Fyll ut hvem som er ansvarlig.

Virksomhet *

Fyll ut virksomhet.

Hvilken rolle har dere i denne behandlingen? *

Reglene avgjøres ikke bare av hva som skjedde, men av hvem dere er i relasjonen. Velg den rollen som beskriver dere.

🏢

Behandlingsansvarlig

Bruddet skjedde hos oss selv

🔗

Behandlingsansvarlig – brudd hos databehandler

En leverandør/underleverandør behandler data for oss

🤝

Databehandler for en kunde

Vi behandler data på vegne av en annen virksomhet

Velg rolle.

Har dere tilstrekkelig grunnlag til å vurdere bruddet fullt ut? *

Hvis databehandleren ikke har gitt dere full oversikt (omfang, årsak, berørte), er informasjonen mangelfull.

✅

Ja – god oversikt

Vi har fått tilstrekkelig informasjon fra leverandøren

❓

Nei / usikkert

Mangelfull eller forsinket informasjon fra leverandøren

Velg informasjonsgrunnlag.

Når ble bruddet oppdaget? *

Avgjørende for når 72-timersfristen begynner å løpe.

Angi tidspunkt – dette styrer fristen.

Daglig leder (godkjenner)

Personvernombud (hvis utpekt)

E-post til ansvarlig for oppfølging (valgfritt)

Brukes til å sende oppfølgings-/kalendervarsel med sjekkliste. Fylles inn i din egen e-postklient – ingen e-post sendes av verktøyet selv.

Kort beskrivelse av hendelsen

Trinn 2 – Klassifiser hendelsen

Ikke alle sikkerhetshendelser er personvernbrudd. Et personvernbrudd (art. 4 nr. 12) er brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger. Rene driftsavvik uten personopplysninger gir ikke meldeplikt.

Type brudd *

👁️

Konfidensialitetsbrudd

Uautorisert tilgang, innsyn eller utlevering

🔒

Tilgjengelighetsbrudd

Data tapt, slettet eller utilgjengelig

✏️

Integritetsbrudd

Data endret eller korrumpert uautorisert

Velg type brudd.

Var de berørte dataene kryptert med en ukompromittert nøkkel?

Kryptering påvirker primært varslingsplikten til de registrerte (art. 34(3)(a)). Den fjerner som hovedregel ikke meldeplikten til Datatilsynet (art. 33), men kan i noen tilfeller gjøre risikoen usannsynlig – det må i så fall begrunnes eksplisitt.

Trinn 3 – Risikovurdering for de registrerte

Vurder risikoen fra de registrertes ståsted. GDPR art. 33/34 måler risiko for de berørte personene – ikke for virksomhetens omdømme. Svar på alle fire dimensjoner.

Tommelfingerregel: Er det realistisk at noen kan bli skadet, utsatt eller rammet av at dette skjedde? Da skal du som hovedregel melde.

Ikke beregnet

Trinn 4 – Rolle- og pliktbasert konklusjon

Virksomhetens beslutning *

Registrér hva dere faktisk bestemmer. Dette gjør rapporten til en ferdig, etterprøvbar styringsbeslutning (art. 5(2)).

Velg en beslutning.

Beslutning – varsling av de berørte (art. 34) *

Skal de berørte personene varsles? Dere kan velge å varsle selv om verktøyet ikke krever det (åpenhet/føre-var).

Velg en beslutning for varsling.

Begrunnelse for å avstå fra melding (art. 33(1)) *

Hovedregelen er å melde. Skal dere la være, må dere her dokumentere hvorfor bruddet sannsynligvis ikke medfører risiko for de registrerte – dere må kunne forsvare avståelsen ved et tilsyn. Lar feltet stå tomt, konkluderer verktøyet med meldeplikt.

Begrunnelse for å ikke varsle de berørte (art. 34(3)) *

Verktøyet vurderer at de berørte skal varsles. Skal dere la være, må dere dokumentere hvilket unntak i art. 34(3) som gjelder: (a) opplysningene var effektivt beskyttet (f.eks. kryptert), (b) etterfølgende tiltak fjerner den høye risikoen, eller (c) varsling krever uforholdsmessig stor innsats (da kreves offentlig informasjon i stedet).

Begrunnelse for forsinkelse (art. 33(1))

72-timersfristen ser ut til å være passert. En forsinket melding er fortsatt lovlig dersom den ledsages av en begrunnelse for forsinkelsen. Dokumentér den her.

Trinn 5 – Godkjenning og rapport

Godkjenning av vurderingen

Rapporten utgjør virksomhetens dokumentasjon etter ansvarlighetsprinsippet (art. 5(2)). Bekreft og signér.

Vurdert av

Godkjent av

Svein Roar Holt

Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Ekspert på operasjonell etterlevelse og virksomhetsstyring.

Se full profil →

Maria Zahlsen

Grunnlegger av Internkontroll AS. Spesialist på styringssystemer, internkontroll og etterlevelse.

Se full profil →

Eksporter saksdata til andre systemer

Hele saken kan lastes ned som en strukturert datafil (JSON). Det er et standardformat de fleste avviks-, kvalitets- og saksbehandlingssystemer kan lese – slik slipper du å taste inn opplysningene på nytt. Last ned filen og importer den i systemet ditt, eller kopiér innholdet. Du trenger ikke forstå innholdet for å bruke det.