Dersom det skjer eit avvik i høve oppsette rutinar for ivaretaking av datatryggleiken, skal ein umiddelbart vurdere om avviket kan ha medført ein høg risiko for personvernet til den/dei som måtte vere råka av avviket. Vurderer ein at dette er tilfellet, skal vedkomande ha varsel om dette snarast mogleg. Varselet skal vere utforma slik at det er lett å forstå.

Som eit minimum skal varselet innehalde

• ei skildring av avviket,
• ei skildring av moglege konsekvansar for avviket,
• ei skildring av kva som er/vert gjort for å stanse avviket og avgrense konsekvensane for dei som er råka av avviket,
• kontaktinformasjon til personar i kommunen som ein kan vende seg til.

Kommunen kan velge å la vere å varsle kvar einskild som er råka dersom

• det er iverksett tiltak som gjer at personopplysningane ikkje kan lesast av uvedkomande,
• det er iverksett oppfylgjande tiltak som gjer at risikoen for personvernet ikkje lenger er reell,
• dersom det er vanskeleg å informere kvar einskild av dei som kan vere råka av avviket. I så fall skal informasjon om avviket gjevast på ein slik måte at alle som kan vere råka, får kjennskap til det.