Informasjon til øvingsleder

Innledende om scenarioet

Behandlinger og lagring av personopplysninger er regulert av Personopplysningsloven. Personopplysningslovenstiller en rekke krav til sikkerhet og beskyttelse av personinformasjon.

De aller fleste organisasjoner håndterer personopplysninger. Det kan være for eksempel være informasjon om ansatte og kundelister. Elektronisk behandling av personinformasjon skal bidra til effektive administrative og produksjonsmessige prosesser i organisasjonene. Dessverre medfører også elektronisk behandling av informasjon en risiko for at personinformasjon kan komme på avveier på andre måter enn ved en behandling av fysiske dokumenter.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Har organisasjonen er beskrevet rutine for varsling av slike hendelser?
  • Er evt. rutinen kjent blant organisasjonens ansatte?
  • Til hvem går slik varsling?
  • Hvordan skjer varslingen til ledelsen?
  • Gir varslingen et komplett bilde av hva som har skjedd, skadeomfanget for organisasjonen og andre involverte parter? Hvilke ekstra undersøkelser må evt. gjennomføres?
  • Har organisasjonen retningslinjer for når krisestab skal innkalles/settes?
  • Finnes det rutiner for å dempe ytterligere uønskede hendelser ved å handle raskt, eks. i dette tilfelle kontakte hver mediebedrift.
  • Har organisasjonen en kommunikasjonsplan for bruk ved en krise/alvorlig hendelse, inkl. roller og ansvar og som kan indikere nødvendig kommunikasjon?
  • Hvordan kan organisasjonen forsikre seg om at data som er feilsendt virkelig blir slettet hos mottaker?
  • I og med at dette er personvernbrudd så skal det rapporteres til Datatilsynet. Hvilke rutiner har organisasjonen for dette?
  • Hvordan skal dette rapporteres til påmeldte deltakere, personlig eller organisasjonen de tilhører? Hvordan løser organisasjonen dette?
  • Hvordan involveres fagforeninger? Er det informasjon som må/bør gis til fagforeninger?
  • Hvordan er en sikker på at en er tilbake i normalsituasjon?


Ved øvelsen er det viktig å se på hva som kunne vært gjort for å unngå denne hendelsen. For å få interne forbedringer er det i dette tilfelle naturlig å spørre:

  • Har organisasjonen en oversikt eller kunnskaper om hvilke regulatoriske forhold som gjelder for organisasjonen (lover, forskrifter og veiledere)?
  • Har organisasjonen utpekt internt ansvarlig person for sikkerhet og regulatoriske forhold inklusive ansvaret for å gi kontinuerlig informasjon og opplæring av ansatte og ansvaret for å håndtere hendelser?
  • Er det klare planer for hva en skal gjøre ved alvorlig hendelse, både med tanke på den enkelte ansatte, organisasjonen og eksterne aktører?
  • Er det opplæring for den enkelte ansatte for hva en skal gjøre ved alvorlig hendelse, både med tanke på den enkelte ansatte og organisasjonen?
  • Kunder og samarbeidspartnere kan be om innsyn i sine data som organisasjonen lagrer og behandler, har organisasjonen rutiner for dette?