Retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern.

English version - Policy for Discrepancy Reporting and Discrepancy Processing in Information Security and Privacy

• Type dokument: Retningslinje
• Forvaltes av: Seksjon for digital sikkerhet
• Godkjent av: Direktør for Organisasjon og infrastruktur
• Gjelder fra: 01.10.2025
• Neste revisjon innen: 01.10.2027
• Klassifisering: Åpen
• Referanse ISO: 27002: 5.27,6.4,6.8
• Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (F-04-20): Pkt 4
• Referanse NSMs grunnprinsipper for IKT-sikkerhet: 4.4
• Referanse LOV/Regel: Eforvaltningsforskriften § 15, § 25, Personopplysningsloven
• Referanse interne dokumenter: Politikk for informasjonssikkerhet, Styringsdokument for sikkerhet og beredskap

Formål

Formålet med avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern er å håndtere brudd på lover, regler og interne retningslinjer.

Et viktig mål er å sikre at Datatilsynet blir informert raskt ved brudd på personopplysningssikkerheten, samt å sørge for at de berørte personene varsles uten unødig forsinkelse slik at de kan ivareta egne interesser.

Gjelder for

Retningslinje for avviksmelding og avvikshåndtering gjelder for alle som har tilgang til, bearbeider eller forvalter informasjon gjennom NTNUs digitale og analoge informasjonssystemer.

Denne retningslinjen avgrenses mot Retningslinje for digital beredskap, hendelses- og krisehåndtering.

Ansvar og roller

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Alle roller tilhørende styringssystemet er definert i politikk for informasjonssikkerhet.

For retningslinje for avviksmelding og avvikshåndtering har linjeledere (avvikseier), leder av Seksjon for digital sikkerhet, alle brukere, samt personvernombud sentrale roller med tilhørende ansvar.

Overordnede prinsipper

• Avvikshåndteringen skal fremme kontinuerlig læring og forbedring av NTNUs rutiner, prosesser og systemer.
• Meldinger om avvik og avvikshåndteringen er en viktig del av det systematiske arbeidet med informasjonssikkerhet, og NTNUs internkontroll.
• Det er nødvendig og ønskelig med avviksmeldinger ved NTNU, og alle med tilgang til NTNUs informasjonssystemer har ansvar for å melde avvik.
• Melding og håndtering av avvik skal føre til positive konsekvenser for den enkeltes arbeidshverdag og for NTNU som helhet ved å forbedre og effektivisere NTNUs arbeidsprosesser og systemer.
• Å reagere på avvik medfører ingen negative sanksjoner. Både den som oppdager avviket og den som melder det inn er beskyttet mot negative reaksjoner.
• Der resultatet av avviksbehandlingen er knyttet til behandling av personopplysninger skal behandlingen dokumenteres og gjennomgås av ledelsen.

Avvikshåndtering

Et avvik defineres i denne retningslinjen som: «et brudd på lover, regler, eller NTNUs interne retningslinjer, politikk og regler som regulerer bruken av NTNUs informasjonssystemer, inkludert behandling av personopplysninger.»

Avvikshåndtering omfatter hele prosessen med å oppdage, melde, behandle, rapportere status og lukke avviket. Håndteringen skal gjøre det mulig å gjenopprette normal tilstand, fjerne årsaken til avviket, redusere negative konsekvenser for både NTNU og tredjepersoner, samt forhindre fremtidige brudd på informasjonssikkerhet og personvern. På denne måten bidrar avvikshåndteringen til kontinuerlig læring og forbedring av NTNUs rutiner, prosesser og systemer.

Illustrasjon over prosessen for avvikshåndtering

Melde avvik

Den eller de som oppdager avvik skal melde avviket i NTNUs digitale avvikssystem uten unødvendig opphold.

Hvilke kategorier skal avviksmeldes:

• Brudd på lover, regler og instrukser
• Brudd på retningslinjer, rutiner eller prosedyrer for sikker behandling av informasjon
• Brudd på personopplysningssikkerheten
• Manglende rutiner og prosedyrer for korrekt informasjonsbehandling og ivaretakelse av informasjonssikkerheten
• Manglende rutiner for ivaretakelse av personopplysningssikkerhet
• Manglende sikkerhetskontroller iht. retningslinjer
• Manglende tilgangskontroll til informasjonsverdier eller utstyr som benyttes til informasjonsbehandling
• Manglende opplæring
• Tap av data

Meldingens innhold

• Innholdet i avviksmeldingen skal, ved bruk av åpen og intern informasjon, beskrive at et brudd har skjedd, beskrive hvor bruddet har forekommet og hva konsekvensene av bruddet kan være
• Avviksmeldingen skal ikke inneholde personopplysninger som navn eller annen informasjon som krever konfidensialitet.
• Avvik skal aldri rettes mot en person, men mot det elementet eller handlingen i arbeidsprosessen som forårsaket sikkerhetsbruddet.
• Avvik som omhandler varsel om kritikkverdige forhold i arbeidet med informasjonssikkerhet skal registreres og håndteres i samsvar med NTNUs rutiner for varsling i henhold til arbeidsmiljøloven.

Oppfølging av avvik

• Avviket mottas av Seksjon for digital sikkerhet (SDS) som vurderer avvikets alvorlighetsgrad (ikke vurdert, mindre alvorlig, alvorlig, svært alvorlig).
• Seksjon for Digital sikkerhet sørger for at det treffes nødvendige strakstiltak og at de ansvarlige blir varslet.
• Ved brudd på personopplysningssikkerheten, se punkt 5.4
• Avvikseier (=linjeleder ansvarlig for arbeidet der avvik har skjedd) skal sammen med avviksbehandler finne årsaken til avviket. Dette gjør det mulig å utvikle effektive tiltak for å forbedre kompetanse, ressurser, ledelse og rutiner. Ved alle avvik hvor kritikaliteten anses som ikke vurdert eller mindre alvorlig, skal avvikseier i linjen være ansvarlig for å håndtere og lukke avviket. Anses kritikaliteten til å være alvorlig eller svært alvorlig skal avvikseier være organisasjonsdirektør eller på tilsvarende nivå.
• Når avviket vurderes som alvorlig eller svært alvorlig vil linjeleder ved enheten der avviket oppstod være tiltakseier, og må sikre at nødvendige og umiddelbare tiltak blir iverksatt.
• Med utgangspunkt i årsakene til avviket skal avvikseier vurdere hvordan avviket skal håndteres og foreslå tiltak. Seksjon for Digital sikkerhet skal sammen med avvikseier dokumentere tiltakene i avvikssystemet, inkludert frist og ansvarlig person (tiltakseier). Tiltakseier kan være systemeiere, prosesseiere, ledere på ulike nivå eller enhet, eller avvikseier selv. Tiltakene skal beskrive ønsket effekt
• Tiltakseier skal vurdere de foreslåtte tiltakene. For tiltak som krever betydelige endringer eller ressurser, skal tiltakseier utarbeide et løsningsforslag med et grovt estimat for ressursbehov. Dette må godkjennes av avvikseier før tiltaket iverksettes.
• Tiltakseier rapporterer fremdrift og gjennomføring av tiltak til avvikseier i avvikssystemet
• Ledere ved NTNU skal ta opp avvik klassifisert som alvorlig eller svært alvorlig i sine ledermøter, og bruke avvikshåndtering som en viktig del av forbedringsarbeidet. Alle avvik som innebærer brudd på personopplysningssikkerheten, skal behandles i ledermøter.

Brudd på personopplysningssikkerheten

• Et brudd på personopplysningssikkerheten er etter personvernforordningen artikkel 4, nr. 12, definert som et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Datatilsynet skal varsles innen 72 timer i tråd med personvernforordningen.
• Jurist og personvernombud skal motta kopi av avviksmeldingen der det gjelder mulig brudd på personopplysningssikkerheten.
• Varsling til Datatilsynet
  
  • Seksjon for Digital sikkerhet (SDS) skal i samråd med jurist og/eller personvernombud vurdere om avviket skal meldes til Datatilsynet. Ved fravær av jurist skal SDS vurdere om avviket skal meldes til Datatilsynet.
  • Jurist skriver varsel til Datatilsynet i samarbeid med SDS og avvikseier, og i samråd med personvernombudet. Ved fravær av jurist utformer SDS og personvernombud varselet.
  • Linjeleder ved enheten der avviket oppstod, er tiltakseier, og skal sørge for å sende inn rapport til SDS som underlag til samlerapport.
• Ved brudd på personopplysningssikkerheten og det er avvik som kan innebære en høy risiko for de registrertes rettigheter og friheter, må avvikseier/tiltakseier iverksette umiddelbare tiltak for å varsle de registrerte slik at de kan ivareta sine interesser. Varselet skal inneholde:
  
  • Klar og tydelig beskrivelse av bruddet på personopplysningssikkerheten
  • Kontaktopplysning til personvernombud
  • Sannsynlige konsekvenser
  • Beskrive skadebegrensende tiltak som er iverksatt eller er planlagt
  • Varslingen skal gjøres av tiltakseier og uten ugrunnet opphold etter å ha blitt kjent med avviket.

Lukking av avvik

• Avvik lukkes av avviksbehandler når tiltakene er gjennomført av tiltakseier, og fungerer etter hensikten. Avvik kan også lukkes ved mer omfattende og langsiktige tiltak som enda ikke er implementert, men som er akseptert og planlagt iverksatt av tiltakseier.
• Avvikseier aksepterer ferdigstilte tiltak. SDS lukker avviket i samråd med avvikseier.
• Avviket kan lukkes selv om ikke alle tiltak fullført, hvis kortsiktige tiltak for å begrense skadevirkning er implementert. Det forutsettes at korrigerende tiltak er påbegynt, men at de er så omfattende at det vil ta lang tid å fullføre dem.
• Avvikseier rapporterer til avviksmelder at avviket er lukket.
• Avvikseier rapporterer til Seksjon for digital sikkerhet om ønsket og oppnådd effekt av avvikshåndteringen.
• Ved avvik som gjelder personopplysninger, og som er meldt til Datatilsynet, skal tilbakemeldinger fra Datatilsynet registreres på egen sak i Elements. Avdeling for utvikling og virksomhetsstyring eller SDS orienterer organisasjonsdirektør og linjeleder om utfallet. Avviksmelder gjøres kjent med tilbakemeldingen når avviket lukkes av SDS.