Dersom det skjer eit avvik i høve oppsette rutinar for ivaretaking av datatryggleiken, skal ein umiddelbart vurdere om avviket kan ha medført ein høg risiko for personvernet til den/dei som måtte vere råka av avviket. Vurderer ein at dette er tilfellet, skal vedkomande ha varsel om dette snarast mogleg. Varselet skal vere utforma slik at det er lett å forstå.
Som eit minimum skal varselet innehalde
- ei skildring av avviket,
- ei skildring av moglege konsekvansar for avviket,
- ei skildring av kva som er/vert gjort for å stanse avviket og avgrense konsekvensane for dei som er råka av avviket,
- kontaktinformasjon til personar i kommunen som ein kan vende seg til.
Kommunen kan velge å la vere å varsle kvar einskild som er råka dersom
- det er iverksett tiltak som gjer at personopplysningane ikkje kan lesast av uvedkomande,
- det er iverksett oppfylgjande tiltak som gjer at risikoen for personvernet ikkje lenger er reell,
- dersom det er vanskeleg å informere kvar einskild av dei som kan vere råka av avviket. I så fall skal informasjon om avviket gjevast på ein slik måte at alle som kan vere råka, får kjennskap til det.