5.8.1 Avvikshåndtering
5.8.1 Avvikshåndtering
Uønskede hendelser (for eksempel brudd på rutiner, personvernet, informasjonssikkerheten eller nettverk- og informasjonssystemer) skal behandles som avvik. Avvik skal behandles for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Virksomheten skal ha rutiner for å oppdage og håndtere avvik. Avviksbehandlingen skal være dokumentert.
Virksomheten skal samle inn fakta om hendelsesforløpet for etablering av korrigerende tiltak. Effekten av korrigerende tiltak skal vurderes og eventuelle andre tiltak settes i verk ved behov.
Ved alvorlige eller gjentatte avvik skal det gjennomføres ny risikovurdering.
Avviksmeldinger som inneholder personopplysninger eller informasjon med betydning for informasjonssikkerheten, skal sikres.
I Normen omtales rapportering av avvik på personvern og informasjonssikkerhet til Datatilsynet, Statens helsetilsyn og Nasjonal sikkerhetsmyndighet.
5.8.2 Brudd på personopplysningssikkerhet
Brudd på personopplysningssikkerheten er avvik som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
5.8.2.1 Melding til Datatilsynet
Dersom avviket er et brudd på personopplysningssikkerheten skal avviket rapporteres til Datatilsynet innen 72 timer, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og rettigheter.
For detaljerte regler, unntak fra meldeplikten og metode for å melde se: Hvordan melde brudd på personopplysningssikkerheten (avvik) (datatilsynet.no)
5.8.2.2 Underretting til den registrerte
Dersom det er sannsynlig at avviket har eller vil føre til høy risiko for den registrerte, skal virksomheten underrette vedkommende.
Virksomheten skal som minimum gi den registrerte følgende informasjon:
- Beskrivelse av bruddet
- Navn og kontaktinformasjon til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes
- Beskrivelse av de sannsynlige konsekvensene av bruddet
- Beskrivelse av de tiltakene som virksomheten har truffet eller foreslår å sette i gang for å håndtere bruddet, inkludert (dersom det er relevant) tiltak for å redusere eventuelle skadevirkninger som følge av bruddet
Virksomheten bør så langt det er mulig, ta direkte kontakt med den registrerte.
5.8.3 Varsel til Statens helsetilsyn
Virksomheter som yter helse- og omsorgstjenester, skal varsle Statens helsetilsyn om avvik som følge av feil og avvik på informasjonssystemer. Varslingsplikten utløses
- ved dødsfall eller svært alvorlig skade på pasient eller bruker
- som følge av ytelse av helse- og omsorgstjenester
- når utfallet er uventet ut fra påregnelig risiko
Ved slike hendelser skal virksomheten
- følge opp og informere pasienter og pårørende
- gjennomgå hendelsen
- identifisere og følge opp risikoreduserende tiltak
For detaljerte regler og metode for å melde se helsetilsynet.no
5.8.4 Varsel til Nasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet fungerer som det nasjonale kontaktpunktet for sikkerhet i nettverk og informasjonssystemer. Virksomheter som leverer samfunnskritiske og digitale tjenester, skal varsle Nasjonal sikkerhetsmyndighet innen 24 timer om avvik som følge av enhver negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Varselet skal inneholde følgende informasjon:
- navn og kontaktinformasjon til tilbyderen
- den berørte tjenesten
- beskrivelse av hendelsen, inkludert mulige årsaker og konsekvenser
- antall berørte brukere
- hendelsens påvirkning i andre land
Nødvendig dokumentasjon og informasjon skal gjøres tilgjengelig for tilsynsmyndigheten. Informasjonen i varselet skal oppdateres innen 72 timer.
Innen en måned etter at varselet er sendt, skal virksomheten levere en hendelsesrapport til varslingsmottakeren. Rapporten skal inneholde oppdatert informasjon om de nevnte forholdene og hvilke tiltak som er iverksatt for å håndtere hendelsen.
Varslingsmottakeren kan kreve statusoppdateringer og nødvendig informasjon for å utføre sine oppgaver.
For definisjoner av nettverks- og informasjonssystemer og sikkerhet i nettverks- og informasjonssystemer, se kapittel 6 Vedlegg og 6.2 Vedlegg i Normen.
