Trenger du en rutine for avviksbehandling og en avvikslogg som oppfyller artikkel 33 og 34 i personvernforordningen (GDPR)? Her er en ferdig prosedyre steg for steg og en logg-template klar til å tilpasse. En rutine for avviksbehandling er den interne prosedyren som sikrer at et brudd på personopplysningssikkerheten oppdages, vurderes, meldes til Datatilsynet innen 72 timer der det kreves, og loggføres. Uten en innøvd rutine er det praktisk talt umulig å rekke fristen når et brudd faktisk skjer – og manglende loggføring er i seg selv et brudd, ettersom alle avvik skal dokumenteres uavhengig av om de meldes.
Etter malene forklarer vi hvordan du tilpasser dem og hvilke feil du bør unngå. For rammeverket, se vår artikkel om melding av avvik etter artikkel 33-34. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.
Mal for rutine for avviksbehandling
RUTINE FOR HÅNDTERING AV BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN
Steg 1 – Oppdage og varsle internt (straks). Enhver ansatt som oppdager eller mistenker et brudd (feilsendt e-post, tapt utstyr, uautorisert tilgang, dataangrep), skal umiddelbart varsle [avviksansvarlig / personvernombud] på [kontakt]. Terskelen for å varsle er lav – heller én gang for mye.
Steg 2 – Registrere i avvikslogg (straks). Avviksansvarlig registrerer hendelsen i avviksloggen med tidspunkt for kjennskap. Dette tidspunktet starter 72-timersfristen.
Steg 3 – Kartlegge og begrense (0–24 timer). Fastslå hva som har skjedd, hvilke opplysninger og hvor mange personer som er berørt, og iverksett strakstiltak for å begrense skaden (stenge tilgang, tilbakekalle e-post, isolere systemer).
Steg 4 – Vurdere risiko (0–48 timer). Vurder om bruddet sannsynligvis medfører en risiko for de registrertes rettigheter og friheter. Ta hensyn til type opplysninger (sensitive?), omfang, identifiserbarhet og mulige konsekvenser (identitetstyveri, økonomisk tap). Dokumenter vurderingen i loggen.
Steg 5 – Melde til Datatilsynet (innen 72 timer). Medfører bruddet risiko, meld til Datatilsynet via det elektroniske skjemaet innen 72 timer fra kjennskap. Er ikke all informasjon klar, send en foreløpig melding i tide og suppler senere. Meldingen skal inneholde artens art, kontaktpunkt, sannsynlige konsekvenser og tiltak (art. 33 nr. 3).
Steg 6 – Varsle de berørte (uten ugrunnet opphold). Medfører bruddet høy risiko, varsle de berørte personene direkte, i klart språk, med konkrete råd om hva de bør gjøre (art. 34). Varsling kan unnlates ved sterk kryptering, effektive avbøtende tiltak eller uforholdsmessig innsats (da informeres offentlig).
Steg 7 – Følge opp og lukke. Gjennomfør varige tiltak for å hindre gjentakelse, oppdater loggen med utfall, og lukk avviket. Evaluer om rutinen fungerte.
Roller: Avviksansvarlig: [navn]. Personvernombud: [navn]. Beslutning om melding: [rolle]. Kommunikasjon: [rolle].
Mal for avvikslogg
Loggen føres med én rad per avvik og oppbevares tilgjengelig for Datatilsynet:
1. Avviks-ID / dato — løpenummer og dato for registrering. 2. Tidspunkt for kjennskap — dato og klokkeslett (starter 72-timersfristen). 3. Beskrivelse av bruddet — hva skjedde og hvordan. 4. Type brudd — konfidensialitet / integritet / tilgjengelighet. 5. Berørte opplysninger og personer — kategorier og omtrentlig antall. 6. Risikovurdering — lav / risiko / høy risiko, med kort begrunnelse. 7. Meldt Datatilsynet? — ja/nei, dato, referanse (eller begrunnelse for at det ikke ble meldt). 8. Varslet de berørte? — ja/nei, dato, metode (eller begrunnelse). 9. Tiltak — strakstiltak og varige tiltak. 10. Status — åpen / lukket, med dato.
Utfylt eksempel
1. 2026-03 / 12.03.2026 · 2. 12.03.2026 kl. 09:15 · 3. E-post med lønnsslipper sendt til feil intern distribusjonsliste · 4. Konfidensialitet · 5. Navn og lønn for 14 ansatte · 6. Risiko (ikke høy) – intern mottakerkrets, opplysningene slettet og bekreftet · 7. Ja, 13.03.2026, ref. [xxx] · 8. Nei – lav risiko for den enkelte etter avbøtende tiltak · 9. Tilbakekalt e-post, slettebekreftelse innhentet, opplæring i bruk av distribusjonslister · 10. Lukket 20.03.2026
Slik tilpasser du malene
Definer rollene konkret. Sett navn på avviksansvarlig og personvernombud, og hvem som beslutter melding utenfor arbeidstid. Et brudd venter ikke til mandag – rutinen må fungere også i helger og ferier.
Bind databehandlerne til korte frister. Mange brudd oppstår hos leverandøren. Databehandleravtalen skal forplikte databehandleren til å varsle deg innen 24–48 timer, ellers rekker du ikke din egen 72-timersfrist. Ta databehandlernes kontaktpunkter inn i rutinen.
Øv på rutinen. En rutine som aldri er testet, svikter under press. Kjør en enkel skrivebordsøvelse årlig: et tenkt brudd, og se om dere klarer stegene innen fristene.
Loggfør alle avvik, også de som ikke meldes. Terskelen for melding er høyere enn terskelen for loggføring. Alle brudd skal i loggen; bare de med risiko meldes. Loggen dokumenterer at dere faktisk vurderte hvert tilfelle. Et verktøy som Legiscope kan strukturere avviksloggen med frister, roller og statuser, slik at meldeplikten oppfylles i tide og dokumentasjonen er samlet.
Hvem bør sitte i beredskapsgruppen?
Effektiv avvikshåndtering krever at riktige personer er definert på forhånd. En typisk beredskapsgruppe består av en avviksansvarlig som koordinerer, personvernombudet eller en personvernrådgiver som vurderer meldeplikt, en teknisk ansvarlig som kartlegger og begrenser bruddet, og en kommunikasjonsansvarlig ved varsling av berørte eller offentlighet. For små virksomheter kan flere roller samles hos én person, men det må være avklart hvem som gjør hva – og hvem som treffer beslutningen om å melde. Kontaktinformasjon til alle, inkludert vararepresentanter, bør ligge lett tilgjengelig, siden et brudd like gjerne oppstår i en ferie som midt i arbeidsuken.
Vanlige feil
- Å vente på full oversikt før melding. Argon Medical Devices ble ilagt 2,5 millioner kroner (senere redusert til 1,5 millioner) for å ha meldt et brudd for sent nettopp fordi de ventet på fullstendig informasjon. Fristen løper fra kjennskap – send foreløpig melding i tide.
- Ingen rutine for kvelder og helger. Brudd oppdaget fredag ettermiddag har frist søndag/mandag. Uten beredskap glipper fristen.
- Å ikke loggføre avvik som ikke meldes. Manglende logg er et selvstendig brudd, uavhengig av det underliggende avviket.
- Uklare roller. Når ingen vet hvem som beslutter melding, taper man verdifulle timer på koordinering.
- Å glemme databehandleren. Uten en kort avtalt varslingsfrist får du vite om bruddet for sent.
Ofte stilte spørsmål
Må vi loggføre avvik som ikke meldes til Datatilsynet?
Ja. Etter artikkel 33 nr. 5 skal alle brudd på personopplysningssikkerheten dokumenteres, uavhengig av om de meldes. Loggen skal gjøre det mulig for Datatilsynet å kontrollere at meldeplikten er overholdt. Manglende loggføring er et selvstendig brudd.
Når starter 72-timersfristen?
Fristen løper fra det tidspunktet den behandlingsansvarlige med rimelig sikkerhet kan konstatere at et brudd har skjedd – ikke fra når årsaken er ferdig kartlagt. Derfor er tidspunktet for kjennskap et eget felt i avviksloggen. Å vente på full oversikt er den vanligste og dyreste feilen.
Hvem har ansvaret for avviksrutinen?
Den behandlingsansvarlige har ansvaret for at rutinen finnes og fungerer. I praksis utpekes en avviksansvarlig og eventuelt et personvernombud til å koordinere. Databehandleren skal bidra etter databehandleravtalen, men hovedansvaret for melding til Datatilsynet ligger hos den behandlingsansvarlige.
Hvor lenge bør avviksloggen oppbevares?
Det finnes ingen fast frist i forordningen, men loggen bør oppbevares lenge nok til å dokumentere etterlevelse over tid – i praksis flere år, slik at Datatilsynet kan kontrollere hvordan brudd er håndtert. Selve loggen inneholder personopplysninger om berørte og bør derfor selv underlegges tilgangsstyring og en slettevurdering, der detaljer som ikke lenger trengs, fjernes eller anonymiseres når dokumentasjonsbehovet er over.
Konklusjon
En avviksrutine handler om tempo og struktur under press. De syv stegene – fra intern varsling til melding, varsling av berørte og lukking – må være innøvd før uhellet skjer, og hvert avvik må loggføres uavhengig av om det meldes. 72-timersfristen løper fra kjennskap, ikke fra full oversikt; det var nettopp denne misforståelsen som kostet Argon Medical Devices et millionerbeløp. Definer rollene, bind databehandlerne til korte frister via databehandleravtalen, og øv på rutinen årlig. Kombiner rutinen med en oppdatert behandlingsprotokoll, så vet du raskt hvilke opplysninger og personer et brudd berører.
Denne malen gir generell informasjon om artikkel 33-34 og utgjør ikke juridisk rådgivning. Tilpass den til din konkrete situasjon.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial