To start page
  • Use of cookies
  • Archive
  • Sitemap
  • Contact
  • Print
  • Print
  • Change text size
Norsk

UDI internal practices

IM 2018-008
Document-ID : IM 2018-008
Case-ID : 18/01314-19
Last modified : 14.01.2019
Documentdate : 07.06.2018
Receiver :

Utlendingsdirektoratet

Melding om brudd på personopplysningssikkerheten i UDI


1.      Innledning

1.1        Hva er en personopplysning?

1.2        Hva er brudd på personopplysningssikkerheten?

2.      Hva skal du gjøre når du oppdager brudd på personopplysningssikkerheten?

3.      Når må UDI sende melding om bruddet til Datatilsynet?

4.      Når må UDI i tillegg underrette den registrerte om bruddet?

1.    Innledning

Denne internmeldingen gir retningslinjer for hvordan UDI skal håndtere eventuelle brudd på personopplysningssikkerheten. Rutinene baserer seg på reglene i personvernforordningen (heretter forordningen) som er norsk lov.

UDI har plikt til å dokumentere alle brudd på personopplysningssikkerheten og hvilke tiltak som er truffet for å utbedre dem, uavhengig av hvor alvorlig bruddet er.

Ved alvorlige brudd på personopplysningssikkerheten skal UDI uten ugrunnet opphold gi melding til Datatilsynet og i noen tilfeller også underrette den registrerte om bruddet. Hvorvidt UDI har plikt til å melde bruddet til Datatilsynet og eventuelt underrette de(n) registrerte må vurderes konkret i hvert enkelt tilfelle.

1.1  Hva er en personopplysning?

Personopplysninger er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson, jf. forordningen artikkel 4 nr. 1. Personopplysninger er for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, ansiktsfoto, fingeravtrykk, DUF-nummer og fødselsnummer (både fødselsdato og personnummer).

Vi bruker mange personopplysninger, hovedsakelig i forbindelse med behandling av utlendings- og statsborgersaker. I tillegg behandler UDI personopplysninger om egne ansatte og jobbsøkere.

1.2  Hva er brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten er en hendelse som bryter med personvernreglene og som fører til at personopplysninger, som behandles i UDI, blir slettet, tapt, endret, spredt eller tilgjengeliggjort på en utilsiktet eller ulovlig måte, jf. forordningen artikkel 4 nr. 12.

Utilsiktet eller ulovlig spredning og tilgjengeliggjøring av personopplysninger innebærer at personopplysninger kommer på avveie. Dette kan for eksempel skje ved at

  • utskrifter av saksdokumenter med personopplysninger ligger igjen i printere

  • datamaskinen som viser personopplysninger ikke blir låst

  • jobbtelefon, pc, nettbrett eller minnepinne som inneholder ukrypterte personopplysninger blir mistet eller gjenglemt

  • personopplysninger blir oppbevart i strid med interne retningslinjer (slik som lagring på minnepinne, ulåst kontor mv.)

  • taushetsbelagte personopplysninger sendes ut av UDI på en usikret måte (vanlige e-postlinjer), uten tilstrekkelig hjemmel for utlevering eller til feil mottaker

  • personopplysninger og dokumenter i én sak ved en feil registreres på en annen sak

  • personopplysninger blir publisert på nett uten at de anonymiseres

  • ansatte behandler flere personopplysninger enn nødvendig for å utføre arbeidsoppgavene sine

    • saksbehandleren snoker i saksbehandlingssystemer

    • saksbehandleren går gjennom utlendingssaker til referansepersonen uten at det er nødvendig for å behandle saken til søkeren

    • saksbehandleren i en enhet/avdeling får ved en feil tilsendt saksopplysninger fra en saksbehandler i en annen enhet/avdeling

    • saksbehandleren i en enhet/avdeling trenger generell veiledning og gir i den forbindelse den som veileder tilgang til personopplysninger uten at det er nødvendig

2.    Hva skal du gjøre når du oppdager brudd på personopplysningssikkerheten?

Brudd på personopplysningssikkerheten skal håndteres på følgende måte

  1. Den som oppdager et brudd på personopplysningssikkerheten, skal umiddelbart melde fra til sin nærmeste leder.

  2. Deretter skal lederen umiddelbart kontakte avdelingens personvernrådgiver (eventuelt personvernrådgiveren i en annen avdeling ved fravær).

  3. Personvernrådgiveren skal med bistand fra melderen varsle Personvernombudet innen 12 timer etter at bruddet ble oppdaget. Varslet skal sendes via IKT Servicedesk.

  4. Personvernrådgiveren skal sammen med personvernombudet vurdere om bruddet er så alvorlig at det må meldes til Datatilsynet.

  5. Hvis bruddet ikke skal meldes til Datatilsynet, skal personvernrådgiveren opprette et internt notat med oppfølging i UdiSak under saken «Brudd på personopplysningssikkerheten – 20XX» (for inneværende år). Personvernrådgiveren skal benytte standardtekst for «Dokumentasjon av brudd». Standardteksten finnes i dokumentet i Word under 360o fanen og personvernmappen. Notatet skal sendes til Personvernombudet og skal godkjennes i linjen av ansvarlig leder (avdelingsdirektøren i den aktuelle avdelingen eller lederen for enheter som ikke er underlagt en avdelingsdirektør). 

  6. Hvis bruddet skal meldes til Datatilsynet, skal personvernrådgiveren opprette et utgående brev til Datatilsynet med kopi til Personvernombudet i UdiSak under samme sak som nevnt i punkt V over. Personvernrådgiveren skal benytte standardtekst for «Melding om brudd til Datatilsynet». Standardteksten finnes i dokumentet i Word under 360o fanen og personvernmappen. Brevet skal sendes til godkjenning til ansvarlig leder (avdelingsdirektøren i den aktuelle avdelingen eller lederen for enheter som ikke er underlagt en avdelingsdirektør).

  7. Ansvarlig leder skal vurdere om bruddet er så alvorlig at også direktøren i UDI bør varsles om bruddet. I så fall skal direktøren vurdere om brevet til Datatilsynet skal sendes fra ham eller henne. Brev som ikke sendes fra direktøren skal sendes fra ansvarlig leder.

  8. Hvis brevet om bruddet ikke kan sendes innen fristen på 72 timer, skal personvernrådgiveren i samråd med personvernombudet sende en fristavbrytende melding til Datatilsynet. Denne fristavbrytende meldingen skal inneholde informasjon om at UDI har avdekket et brudd og årsaken til hvorfor vi trenger mer enn 72 timer på å utrede og dokumentere saken.

  9. Hvis den registrerte også skal underrettes om bruddet, skal personvernrådgiveren opprette utgående brev til den registrerte med kopi til Personvernombudet i UdiSak. Brevet skal behandles i linjen på samme måte som brev om brudd til Datatilsynet. Personvernrådgiveren skal benytte standardtekst for «Underretning om brudd til de(n) registrerte». Standardteksten finnes i dokumentet i Word under 360o fanen og personvernmappen. Brevet skal unntas fra offentlighet etter offentleglova § 12, jf. §§ 13 og 24. I tillegg skal mottakeren (navn og adresse til den registrerte) skjermes, se brukerveiledning for opprettelse av utgående dokument i UdiSak (side 3 og 4).

  10. All dokumentasjon i saken, inkludert eventuelle tilbakemeldinger fra Datatilsynet, skal arkiveres i Udisak under saken «Brudd på personopplysningssikkerheten – 20XX» (for inneværende år).

3.    Når må UDI sende melding om bruddet til Datatilsynet?

UDI skal melde brudd til Datatilsynet uten ugrunnet opphold og hvis mulig senest 72 timer etter å ha fått kjennskap til det, jf. forordningen artikkel 33. Det skal gjøres med mindre det er lite trolig at bruddet vil medføre en risiko for personers rettigheter og friheter, slik som fysisk, materiell eller ikke-materiell skade.

Datatilsynet skal få melding hvis den registrerte som følge av bruddet kan

  • bli utsatt for fare

    • hjemlandets myndigheter kan ha fått kjennskap til opplysninger om en asylsøker

    • familien kan ha fått informasjon om at referansepersonen i en familieinnvandringssak har gitt opplysninger om at han/hun er utsatt for press eller tvang

    • familiemedlemmer kan ha fått utlevert opplysninger om søkerens oppholdssted som gjør at søkeren kan bli utsatt for vold

  • få skadet sitt omdømme

    • sensitive opplysninger om den registrerte blir kjent i offentligheten

  • få betydelige økonomiske eller sosiale ulemper

    • uvedkommende får tilgang til og misbruker personopplysninger om den registrerte som fører til et økonomisk tap

  • få sine alminnelige rettigheter begrenset

    • uriktige opplysninger medfører at UDI fatter feil vedtak

    • uriktige opplysninger om personen i UDB fører til følgefeil hos andre offentlige etater

  • miste kontrollen over egne personopplysninger

    • opplysninger om personen blir delt med andre utenfor UDI uten at det er hjemlet i lov

    • UDI blir utsatt for et datainnbrudd (f. eks hacking) og personopplysninger blir kompromittert

  • bli utsatt for identitetstyveri eller –bedrageri

  • bli forskjellsbehandlet

Brevet skal følge malen for melding til Datatilsynet, se standardtekst i dokumentet i Word under 360o fanen og personvernmappen.

4.    Når må UDI i tillegg underrette den registrerte om bruddet?

UDI skal uten ugrunnet opphold underrette den registrerte om bruddet hvis det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter. UDI kan la være å underrette den registrerte hvis det er

  • iverksatt beskyttelsestiltak for de berørte personopplysningene, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering

  • iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell

    • sperre eller begrense tilgangene til systemene

    • fjerne personopplysninger fra nettet

    • be mottakeren av opplysninger om å slette disse

    • slette opplysninger på tapt jobbtelefon, pc eller nettbrett via fjerntilgang

  • uforholdsmessig vanskelig å varsle hver enkelt av de registrerte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de registrerte likevel underrettes på en effektiv måte.

UDI har ikke plikt til å underrette den registrerte om brudd på personopplysningssikkerheten hvis underretningen vil røpe opplysninger som den registrerte kan nektes innsyn i etter personopplysningsloven § 16 første ledd bokstav a, b og d. Dette gjelder opplysninger som er

  • av betydning for nasjonale forsvars- og sikkerhetsinteresser eller utenrikspolitiske hensyn,

  • påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger, eller

  • underlagt lovbestemt taushetsplikt.

Brevet skal følge malen for «Underretning om brudd til de(n) registrerte», se standardtekst i dokumentet i Word under 360o fanen og personvernmappen.

 

Stephan Mo
avdelingsdirektør

Kontakt: Analyse- og utviklingsavdelingen, Regelverksenheten

 

Latest changes
  • Endret: IM 2018-008 Melding om brudd på personopplysningssikkerheten i UDI (1/14/2019)

    Internmeldingen er oppdatert. Meldinger til Datatilsynet og underretning til de registrerte om brudd på personopplysningssikkerheten skal skje etter en fastsatt mal. Malene lå tidligere i vedlegg 1 og 2, men erstattes nå av nye standardtekster som saksbehandler finner ved utarbeidelse av brev i Word via UdiSak. I tillegg er det i enkelte tilfeller gjort unntak fra underretningsplikten i personvernforordningen (GDPR) artikkel 34, jf. personopplysningsloven § 16 fjerde ledd.

  • Ny: IM 2018-008 Melding om brudd på personopplysningssikkerheten i UDI (6/7/2018)

    Ny internmelding som gir retningslinjer for hvordan UDI skal håndtere eventuelle brudd på personopplysningssikkerheten. Rutinene som beskrives baserer seg på reglene i den nye personvernforordningen. I vedleggene ligger det maler for melding til Datatilsynet og de(n) registrerte.

Norwegian Directorate
of Immigration
Utlendingsdirektoratet
P.O. box 2098 Vika
NO-0125 Oslo
Norway

Editor in Chief: Stephan Mo