Dersom ein ikkje har avvik når det gjeld behandling av personopplysingar, er det sjølvsagt bra, men i dei fleste organisasjonar skjer det avvik. Det er berre det at dei ikkje blir melde inn. Det kan vera mange grunnar til det. Ein er redd for at det får konsekvensar for den som gjer feil, det er travelt når det skjer, det er eit tungvint system for avviksmeldingar eller den einskilde medarbeidaren manglar kunnskap om kva som er avvik.
Tvert imot kan ein tenka at ein organisasjon som rapporterer mange avvik, er ein som har orden i eige hus og som er opptatt av personvern. Alle avvik skal meldast i et system og etter rutinar som kommunen har bestemt. Hovudregelen er at avvik som gjeld personopplysingar skal meldast vidare til Datatilsynet, og då innan 72 timar etter at avviket skjedde. I praksis er det berre alvorlege avvik som blir melde inn. Ansvaret for å melda inn avvik til datatilsynet, ligg hos leiinga i kommunen. Men tida ein har på seg før fristen går ut, gjer at du bør senda melding direkte til den ansvarlege (og personvernombod) i tillegg til at du legg avviket inn i systemet.
Det blir i tillegg ofte kravd at du skal leggja inn forslag til tiltak slik at dette avviket ikkje skjer fleire gonger. Det kan vera litt vanskeleg å komma på tiltak der og då, så eg vil råda dykk til å fyrst melda avviket så snart som råd og så leggja til tiltak etterpå.