Til startsiden
  • Personvern
  • Arkiv
  • Nettstedskart
  • Kontakt oss
  • Skriv ut
  • Skriv ut
  • Endre tekststørrelse
English

UDI internmeldinger

IM 2018-008
Dokument-ID : IM 2018-008
Saksnummer : 18/01314-19
Sist endret : 25.09.2019
Dokumentdato : 07.06.2018
Mottakere :

Utlendingsdirektoratet

Melding om brudd på personopplysningssikkerheten i UDI


1.      Innledning

1.1        Hva er en personopplysning?

1.2        Hva er brudd på personopplysningssikkerheten?

2.      Hva skal du gjøre når du oppdager brudd på personopplysningssikkerheten?

3.      Når må UDI sende melding om bruddet til Datatilsynet?

4.      Når må UDI i tillegg underrette den registrerte om bruddet?

1.    Innledning

Denne internmeldingen gir retningslinjer for hvordan UDI skal håndtere eventuelle brudd på personopplysningssikkerheten. Rutinene baserer seg på reglene i personvernforordningen (heretter forordningen) som er norsk lov.

UDI har plikt til å dokumentere alle brudd på personopplysningssikkerheten og hvilke tiltak som er truffet for å utbedre dem, uavhengig av hvor alvorlig bruddet er.

Ved alvorlige brudd på personopplysningssikkerheten skal UDI uten ugrunnet opphold gi melding til Datatilsynet og i noen tilfeller også underrette den registrerte om bruddet. Hvorvidt UDI har plikt til å melde bruddet til Datatilsynet og eventuelt underrette de(n) registrerte må vurderes konkret i hvert enkelt tilfelle.

1.1  Hva er en personopplysning?

Personopplysninger er opplysninger og vurderinger som direkte eller indirekte kan knyttes til en enkeltperson, jf. forordningen artikkel 4 nr. 1. Personopplysninger er for eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, ansiktsfoto, fingeravtrykk, DUF-nummer og fødselsnummer (både fødselsdato og personnummer).

Vi bruker mange personopplysninger, hovedsakelig i forbindelse med behandling av utlendings- og statsborgersaker. I tillegg behandler UDI personopplysninger om egne ansatte og jobbsøkere.

1.2  Hva er brudd på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten er en hendelse som bryter med personvernreglene og som fører til at personopplysninger, som behandles i UDI, blir slettet, tapt, endret, spredt eller tilgjengeliggjort på en utilsiktet eller ulovlig måte, jf. forordningen artikkel 4 nr. 12.

Utilsiktet eller ulovlig spredning og tilgjengeliggjøring av personopplysninger innebærer at personopplysninger kommer på avveie. Dette kan for eksempel skje ved at

  • utskrifter av saksdokumenter med personopplysninger ligger igjen i printere

  • datamaskinen som viser personopplysninger ikke blir låst

  • jobbtelefon, pc, nettbrett eller minnepinne som inneholder ukrypterte personopplysninger blir mistet eller gjenglemt

  • personopplysninger blir oppbevart i strid med interne retningslinjer (slik som lagring på minnepinne, ulåst kontor mv.)

  • taushetsbelagte personopplysninger sendes ut av UDI på en usikret måte (vanlige e-postlinjer), uten tilstrekkelig hjemmel for utlevering eller til feil mottaker

  • personopplysninger og dokumenter i én sak ved en feil registreres på en annen sak

  • personopplysninger blir publisert på nett uten at de anonymiseres

  • ansatte behandler flere personopplysninger enn nødvendig for å utføre arbeidsoppgavene sine

    • saksbehandleren snoker i saksbehandlingssystemer

    • saksbehandleren går gjennom utlendingssaker til referansepersonen uten at det er nødvendig for å behandle saken til søkeren

    • saksbehandleren i en enhet/avdeling får ved en feil tilsendt saksopplysninger fra en saksbehandler i en annen enhet/avdeling

    • saksbehandleren i en enhet/avdeling trenger generell veiledning og gir i den forbindelse den som veileder tilgang til personopplysninger uten at det er nødvendig

2.    Hva skal du gjøre når du oppdager brudd på personopplysningssikkerheten?

Brudd på personopplysningssikkerheten skal håndteres på følgende måte

I. Den som oppdager et brudd på personopplysningssikkerheten, skal umiddelbart melde fra til nærmeste leder og avdelingens personvernrådgiver evt. personvernrådgiver i en annen avdeling.

II. Melderen skal med bistand fra personvernrådgiveren varsle Personvernombudet innen 12 timer etter at bruddet ble oppdaget. Varslet skal sendes via IKT Servicedesk.

III. Personvernombudet kaller melderen, personvernrådgiver i aktuell avdeling, ev. andre relevante ressurser og en av personvernrådgiverne i AEF eller AUA inn til et koordineringsmøte hvor videre oppfølging av bruddet planlegges.

IV. Deltakerne i møtet vurderer om bruddet er så alvorlig at det må meldes til Datatilsynet og om det eventuelt skal sendes en foreløpig melding om bruddet. Personvernombudet vurderer om bruddet er så alvorlig at direktøren i UDI må informeres.

V. Hvis bruddet ikke skal meldes til Datatilsynet, skal innholdet i meldingen i Servicedesk kopieres til UdiSak under saken «Brudd på personopplysningssikkerheten – 20XX» (for inneværende år). Dokumentet skal nummereres i løpende rekkefølge xx/20xx og gis en tittel som er forklarende for hva som har skjedd. Offentlig tittel settes som «Brudd på personopplysningssikkerheten». Standardtekst for «Dokumentasjon av brudd» finner du i Word under 360o fanen og personvernmappen. Notatet skal sendes til  personvernombudet og godkjennes i linjen av ansvarlig leder (avdelingsdirektøren i den aktuelle avdelingen eller lederen for enheter som ikke er underlagt en  avdelingsdirektør).

VI. Hvis bruddet skal meldes til Datatilsynet opprettes et utgående brev til Datatilsynet med kopi til Personvernombudet i UdiSak under samme sak som nevnt i punkt V over. Standardtekst for «Melding om brudd til Datatilsynet» finner du i Word under 360o fanen og personvernmappen. Brevet skal sendes til godkjenning hos ansvarlig leder (avdelingsdirektøren i den aktuelle avdelingen eller lederen for enheter som ikke er underlagt en avdelingsdirektør).

VII. Ansvarlig leder skal vurdere om bruddet er så alvorlig at også direktøren i UDI bør varsles ombruddet. I så fall skal direktøren vurdere om brevet til Datatilsynet skal sendes fra ham eller henne. Brev som ikke sendes fra direktøren skal sendes fra ansvarlig leder.

VIII. Hvis brevet om bruddet ikke kan sendes innen fristen på 72 timer, skal det opprettes et utgående brev til Datatilsynet med kopi til Personvernombudet i UdiSak under samme sak som nevnt i punkt V over. Standardtekst for «Melding om brudd til Datatilsynet» må tilpasses slik at det fremgår at det er en foreløpig melding om brudd og årsaken til hvorfor vi trenger mer enn 72 timer på å utrede og dokumentere saken.

IX. Hvis den registrerte også skal underrettes om bruddet skal personvernrådgiver i aktuell avdeling opprette utgående brev til den registrerte med kopi til Personvernombudet i UdiSak. Brevet må tilgangsbegrenses til gruppen «Personvern». Brevet skal behandles i linjen på samme måte som brev om brudd til Datatilsynet. Personvernrådgiveren skal benytte standardtekst for «Underretning om brudd til de(n) registrerte». Standardteksten finnes i Word under 360o fanen og personvernmappen. Brevet skal unntas fra offentlighet etter offentleglova § 12, jf. §§ 13 og 24. I tillegg skal mottakeren (navn og adresse til den registrerte) skjermes, se brukerveiledning for opprettelse av utgående dokument i UdiSak (side 3 og 4).

X. All dokumentasjon i saken, inkludert eventuelle tilbakemeldinger fra Datatilsynet, skal arkiveres i Udisak under saken «Brudd på personopplysningssikkerheten – 20XX» (for inneværende år). Dokumentet skal nummereres løpende x/20XX og gis en intern tittel som tilkjennegir hva bruddet omhandler. Den offentlige tittelen settes til «Melding om brudd på personopplysningssikkerheten».

3.    Når må UDI sende melding om bruddet til Datatilsynet?

UDI skal melde brudd til Datatilsynet uten ugrunnet opphold og hvis mulig senest 72 timer etter å ha fått kjennskap til det, jf. forordningen artikkel 33. Det skal gjøres med mindre det er lite trolig at bruddet vil medføre en risiko for personers rettigheter og friheter, slik som fysisk, materiell eller ikke-materiell skade.

Datatilsynet skal få melding hvis den registrerte som følge av bruddet kan

  • bli utsatt for fare

    • hjemlandets myndigheter kan ha fått kjennskap til opplysninger om en asylsøker

    • familien kan ha fått informasjon om at referansepersonen i en familieinnvandringssak har gitt opplysninger om at han/hun er utsatt for press eller tvang

    • familiemedlemmer kan ha fått utlevert opplysninger om søkerens oppholdssted som gjør at søkeren kan bli utsatt for vold

  • få skadet sitt omdømme

    • sensitive opplysninger om den registrerte blir kjent i offentligheten

  • få betydelige økonomiske eller sosiale ulemper

    • uvedkommende får tilgang til og misbruker personopplysninger om den registrerte som fører til et økonomisk tap

  • få sine alminnelige rettigheter begrenset

    • uriktige opplysninger medfører at UDI fatter feil vedtak

    • uriktige opplysninger om personen i UDB fører til følgefeil hos andre offentlige etater

  • miste kontrollen over egne personopplysninger

    • opplysninger om personen blir delt med andre utenfor UDI uten at det er hjemlet i lov

    • UDI blir utsatt for et datainnbrudd (f. eks hacking) og personopplysninger blir kompromittert

  • bli utsatt for identitetstyveri eller –bedrageri

  • bli forskjellsbehandlet

Brevet skal følge malen for melding til Datatilsynet, se standardtekst i dokumentet i Word under 360o fanen og personvernmappen.

4.    Når må UDI i tillegg underrette den registrerte om bruddet?

UDI skal uten ugrunnet opphold underrette den registrerte om bruddet hvis det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter. UDI kan la være å underrette den registrerte hvis det er

  • iverksatt beskyttelsestiltak for de berørte personopplysningene, særlig dersom tiltakene gjør opplysningene uleselige for uvedkommende, for eksempel ved kryptering

  • iverksatt etterfølgende tiltak som gjør at risikoen sannsynligvis ikke lenger er reell

    • sperre eller begrense tilgangene til systemene

    • fjerne personopplysninger fra nettet

    • be mottakeren av opplysninger om å slette disse

    • slette opplysninger på tapt jobbtelefon, pc eller nettbrett via fjerntilgang

  • uforholdsmessig vanskelig å varsle hver enkelt av de registrerte. I slike tilfeller skal informasjonen i stedet offentliggjøres eller deles på annen måte, slik at de registrerte likevel underrettes på en effektiv måte.

UDI har ikke plikt til å underrette den registrerte om brudd på personopplysningssikkerheten hvis underretningen vil røpe opplysninger som den registrerte kan nektes innsyn i etter personopplysningsloven § 16 første ledd bokstav a, b og d. Dette gjelder opplysninger som er

  • av betydning for nasjonale forsvars- og sikkerhetsinteresser eller utenrikspolitiske hensyn,

  • påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger, eller

  • underlagt lovbestemt taushetsplikt.

Brevet skal følge malen for «Underretning om brudd til de(n) registrerte», se standardtekst i dokumentet i Word under 360o fanen og personvernmappen.

 

Stephan Mo
avdelingsdirektør

Kontakt: Analyse- og utviklingsavdelingen, Regelverksenheten

 

Siste endringer
  • Endret: IM 2018-008 Melding om brudd på personopplysningssikkerheten i UDI (25.09.2019)

    Punkt 2 i retningslinjen er endret. Endringen innebærer at Personvernombudet skal kalle inn til et koordineringsmøte når det meldes om brudd på opplysningssikkerheten, hvor videre oppfølging av bruddet planlegges. Det er videre en endring for hvem som har hvilke oppgaver når det blir oppdaget et brudd.

  • Endret: IM 2018-008 Melding om brudd på personopplysningssikkerheten i UDI (14.01.2019)

    Internmeldingen er oppdatert. Meldinger til Datatilsynet og underretning til de registrerte om brudd på personopplysningssikkerheten skal skje etter en fastsatt mal. Malene lå tidligere i vedlegg 1 og 2, men erstattes nå av nye standardtekster som saksbehandler finner ved utarbeidelse av brev i Word via UdiSak. I tillegg er det i enkelte tilfeller gjort unntak fra underretningsplikten i personvernforordningen (GDPR) artikkel 34, jf. personopplysningsloven § 16 fjerde ledd.

  • Ny: IM 2018-008 Melding om brudd på personopplysningssikkerheten i UDI (07.06.2018)

    Ny internmelding som gir retningslinjer for hvordan UDI skal håndtere eventuelle brudd på personopplysningssikkerheten. Rutinene som beskrives baserer seg på reglene i den nye personvernforordningen. I vedleggene ligger det maler for melding til Datatilsynet og de(n) registrerte.

Utlendingsdirektoratet
Postboks 2098 Vika
0125 Oslo

Ansvarlig redaktør: Stephan Mo