GDPR-Avviks-Sjekken™ PRO
Personvernbrudd · Meldeplikt · 72-timers frist · Datatilsynet · Styringsportalen™
PRO
v3.0
GDPR art. 33, 34, 35 · personopplysningsloven
internkontrollportalen.no
Styringsportalen™
Styringsportalen™
⏱ 72-timers frist til Datatilsynet
Fristen løper fra det øyeblikket dere ble kjent med bruddet – helger stopper ikke klokken
--:--:--
1Oppsett
2Hendelse
3Risikovurdering
4Konklusjon
5Rapport
Autolagring aktiv
Ikke alle sikkerhetshendelser er personvernbrudd
Et personvernbrudd foreligger kun dersom hendelsen medfører utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig utlevering av eller tilgang til personopplysninger. Intern nedetid uten tilgang utenfra er normalt ikke et personvernbrudd.
Trinn 1 — Oppsett
72-timersfristen løper fra dette tidspunktet. Vær presis – dette er avgjørende ved tilsyn.
Trinn 2 — Klassifisering av hendelsen
👁️
Konfidensialitetsbrudd
Uvedkommende har fått tilgang til eller innsyn i personopplysninger
🔒
Tilgjengelighetsbrudd
Data er utilgjengelig, tapt eller slettet (ransomware, systemfeil, tap av enhet)
✏️
Integritetsbrudd
Personopplysninger er utilsiktet endret eller korrumpert
🔑 Var de berørte dataene kryptert?
Dersom dataene var kryptert med en nøkkel som IKKE er kompromittert, vil risikoen for de registrerte normalt være svært lav – noe som kan påvirke meldeplikten iht. GDPR art. 34 (3)(a).
Ja – kryptert og nøkkel ikke kompromittert
Nei – ikke kryptert
Ukjent
Eksempler – veiledende, ikke juridisk rådgivning
✓ Ofte ikke meldepliktigE-post med kun navn og e-postadresse sendt til feil intern mottaker · Kortvarig nedetid uten ekstern tilgang · Tapt kryptert enhet med ukompromittert nøkkel
⚑ Ofte meldepliktigFeil mottaker + helseopplysninger eller personnummer · Ransomware-angrep mot pasientregister · Uautorisert tilgang til ansattdata over tid · Publisering av sensitive data på feil nettsted
Trinn 3 — Risikovurdering for de registrerte
Vurder risikoen for de personene (registrerte) som er berørt av bruddet. Det er konsekvensen for dem – ikke for virksomheten – som er avgjørende for meldeplikten.
Trinn 4 — Konklusjon og påkrevde tiltak
Trinn 5 — Dokumentasjon & rapport
Rapporten dokumenterer vurderingen og beslutningen iht. GDPR art. 5 (2) – ansvarlighetsprinsippet. Lagres i virksomhetens interne protokoll over personvernbrudd.
Svein Roar Holt
Grunnlegger av Internkontroll AS og arkitekt bak IS-modellen™. Ekspert på operasjonell etterlevelse og virksomhetsstyring.
Se full profil →Maria Zahlsen
Grunnlegger av Internkontroll AS. Spesialist på styringssystemer, internkontroll og compliance.
Se full profil →Beskyttelse av immateriell kapital – Styringsportalen™
Verktøy og beslutningslogikker er utviklet av Internkontroll AS og beskyttet iht. åndsverkloven.
Forbud: Kopiering for kommersiell utnyttelse uten skriftlig lisensavtale vil bli rettslig forfulgt.
Saksdata – JSON-eksport