Sådan demonstrerer du overholdelse af GDPR artikel 33

GDPR Artikel 33-overholdelse forklarer dataansvarliges forpligtelse til at rapportere brud på persondatasikkerheden til tilsynsmyndighederne inden for 72 timer, med detaljerede oplysninger om påkrævede brudmeddelelser, risikovurderinger og afbødende foranstaltninger for at sikre overholdelse af lovgivningen.

Book en demo
Forfatter
Max Edwards
Opdateret 11. marts 2025
LinkedIn Twitter Twitter

Hvad er GDPR artikel 33? Et hurtigt overblik over overholdelseskrav

GDPR Artikel 33 omhandler en organisations forpligtelse til at underrette den relevante juridiske eller regulerende myndighed, når en persons rettigheder og friheder er blevet bragt i fare på grund af deres handlinger (eller en partneret tredjeparts handlinger) som dataansvarlig.

GDPR Artikel 33 Lovtekst

EU GDPR-version

Anmeldelse af et brud på persondatasikkerheden til tilsynsmyndigheden

  1. I tilfælde af overtrædelse af personoplysninger skal kontrollanten uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at have fået kendskab til det, underrette personoplysningerne om den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, medmindre brud på personoplysninger er usandsynligt, at det medfører en risiko for fysiske personers rettigheder og friheder. Hvis anmeldelsen til tilsynsmyndigheden ikke er afgivet inden for 72 timer, skal den ledsages af begrundelsen for forsinkelsen.
  2. Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at have fået kendskab til et brud på persondatasikkerheden.
  3. Den i stk. 1 nævnte meddelelse skal mindst:

    • Beskriv karakteren af ​​bruddet på persondatasikkerheden, herunder hvor det er muligt, kategorierne og det omtrentlige antal af berørte registrerede og de pågældende kategorier og det omtrentlige antal af persondataregistre;
    • Kommunikere navn og kontaktoplysninger på den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor flere oplysninger kan fås;
    • Beskriv de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
    • Beskriv de foranstaltninger, der er truffet eller foreslået truffet af den registeransvarlige for at imødegå bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.
  4. Hvor og i det omfang det ikke er muligt at give oplysningerne samtidigt, kan oplysningerne gives i etaper uden unødig yderligere forsinkelse.
  5. Den registeransvarlige skal dokumentere ethvert brud på persondatasikkerheden, herunder fakta vedrørende persondatabruddet, dets virkninger og de afhjælpende foranstaltninger, der er truffet. Denne dokumentation skal gøre det muligt for tilsynsmyndigheden at verificere overholdelsen af ​​denne artikel.

UK GDPR-version

Underretning om et brud på persondatasikkerheden til kommissæren

  1. I tilfælde af et brud på persondatasikkerheden skal den dataansvarlige uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at have fået kendskab hertil, underrette kommissæren om bruddet på persondatasikkerheden, medmindre bruddet på persondatasikkerheden er usandsynligt medføre en risiko for fysiske personers rettigheder og friheder. Hvis meddelelsen i henhold til dette stykke ikke gives inden for 72 timer, skal den ledsages af årsagerne til forsinkelsen.
  2. Databehandleren skal underrette den dataansvarlige uden unødig forsinkelse efter at have fået kendskab til et brud på persondatasikkerheden.
  3. Den i stk. 1 nævnte meddelelse skal mindst:

    • Beskriv karakteren af ​​bruddet på persondatasikkerheden, herunder hvor det er muligt, kategorierne og det omtrentlige antal af berørte registrerede og de pågældende kategorier og det omtrentlige antal af persondataregistre;
    • Kommunikere navn og kontaktoplysninger på den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor flere oplysninger kan fås;
    • Beskriv de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
    • Beskriv de foranstaltninger, der er truffet eller foreslået truffet af den registeransvarlige for at imødegå bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde dets mulige negative virkninger.
  4. Hvor og i det omfang det ikke er muligt at give oplysningerne samtidigt, kan oplysningerne gives i etaper uden unødig yderligere forsinkelse.
  5. Den registeransvarlige skal dokumentere ethvert brud på persondatasikkerheden, herunder fakta vedrørende persondatabruddet, dets virkninger og de afhjælpende foranstaltninger, der er truffet. Denne dokumentation skal gøre det muligt for kommissæren at verificere overholdelsen af ​​denne artikel.


Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


Teknisk kommentar

Ud over at dokumentere alle hændelser omkring et brud grundigt, skal organisationer overveje seks styrende faktorer når der handles på et databrud:

  1. Definitionen af ​​et brud – "et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personlige data, der er transmitteret, opbevaret eller på anden måde behandlet".
  2. Opretholdelse af akut bevidsthed om et brud og opnåelse af en 'rimelig grad af kontrol', når en formodet overtrædelse har fundet sted.
  3. At være opmærksom på de risici for individuelle frihedsrettigheder, som et databrud kan medføre, og hvor sandsynlige disse risici viser sig som.
  4. Risikoens alvor, herunder.

    • Risikokategorien.
    • Mængden af ​​berørte data og størrelsen af ​​bruddet.
    • Hvordan de er i stand til at identificere eventuelle berørte personer.
    • Hvor alvorlig bruddet er i form af håndgribelige konsekvenser for alle personer, der er berørt af det (og hvor sårbare de er).
    • Arten af ​​organisationens virksomhed, og om det udgør en højere risiko (f.eks. finansielle data).

  5. Hvor det er muligt, behovet for at underrette eventuelle styrende myndigheder Inden for 72 timer.
  6. Behovet for at give en gyldig grund til at kontakte myndighederne efter 72 timer er gået, hvis dette sker.

Ved underretning til tilsynsmyndigheden skal organisationer:

  • Beskriv arten af ​​bruddet.
  • Udpeg et kontaktpunkt.
  • Skitsér sandsynligheden for eventuelle konsekvenser.
  • Beskriv eventuelle handlinger, der er truffet som reaktion på bruddet.
  • Angiv eventuelle yderligere detaljer, der er relevante for bruddet.

ISO 27701 paragraf 6.13.1.1 (Ansvar og procedurer) og EU GDPR artikel 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) og 34 (4)

For at skabe en sammenhængende, velfungerende hændelsesstyringspolitik, der sikrer tilgængeligheden og integriteten af ​​privatlivsoplysninger under kritiske hændelser, bør organisationer:

  1. Overhold en metode til rapportering af hændelser vedrørende beskyttelse af personlige oplysninger.
  2. Etabler en række processer, der håndterer datasikkerhedsrelaterede hændelser på tværs af virksomheden, herunder:

    • Administration.
    • Dokumentation.
    • Opdagelse.
    • Triage.
    • Prioritering.
    • Analyse.
    • Meddelelse.

  3. Udarbejd en hændelsesprocedure, der gør det muligt for organisationen at vurdere, reagere på og lære af hændelser.
  4. Sikre, at hændelser håndteres af uddannet og kompetent personale, der nyder godt af løbende trænings- og certificeringsprogrammer på arbejdspladsen

Personale, der er involveret i hændelser vedrørende privatlivsinformationssikkerhed, bør forstå:

  • Den tid, det bør tage at løse en hændelse.
  • Eventuelle potentielle konsekvenser.
  • Hændelsens alvor.

Når personalet beskæftiger sig med hændelser vedrørende privatlivsinformationssikkerhed, bør:

  1. Vurder hændelser i overensstemmelse med strenge kriterier, der validerer dem som godkendte hændelser.
  2. Kategoriser hændelser vedrørende beskyttelse af personlige oplysninger i 5 underemner:

    • Overvågning (se ISO 27002 Kontrol 8.15 og 8.16).
    • Detektion (se ISO 27002 kontrol 8.16).
    • Klassificering (se ISO 27002 Kontrol 5.25).
    • Analyse.
    • Rapportering (se ISO 27002 Kontrol 6.8).

  3. Når de løser hændelser vedrørende beskyttelse af privatlivets fred, bør organisationer:

    • Reaktion og eskalering af problemer (se ISO 27002 Kontrol 5.26) i overensstemmelse med typen af ​​hændelse.
    • Aktiver krisestyring og forretningskontinuitetsplaner.
    • Påvirke en administreret genopretning fra en hændelse, der afbøder operationel og/eller økonomisk skade.
    • Sikre grundig kommunikation af hændelsesrelaterede hændelser til alt relevant personale.

  4. Deltag i samarbejde (se ISO 27002 kontrol 5.5 og 5.6).
  5. Log alle hændelsesstyrede aktiviteter.
  6. Være ansvarlig for håndteringen af ​​hændelsesrelateret bevismateriale (se ISO 27002 Kontrol 5.28).
  7. Foretag en grundig årsagsanalyse for at minimere risikoen for, at hændelsen sker igen, herunder foreslåede ændringer af eventuelle processer.

Rapporteringsaktiviteter bør være centreret omkring 4 nøgleområder:

  • Handlinger, der skal udføres, når en informationssikkerhedsbegivenhed indtræffer.
  • Hændelsesformularer, der registrerer information gennem en hændelse.
  • End-to-end feedbackprocesser til alt relevant personale.
  • Hændelsesrapporter, der beskriver, hvad der er sket, når en hændelse er blevet løst.

Understøtter ISO 27002 kontroller

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 paragraf 6.13.1.5 (Reaktion på informationssikkerhedshændelser) og EU GDPR artikel 34 (1) og 34 (2)

Organisationer bør sikre, at hændelser vedrørende beskyttelse af privatlivets fred håndteres af et dedikeret teknisk team med færdigheder og ressourcer til at påvirke en hurtig løsning (se ISO 27002 Kontrol 5.24).

Organisationer bør:

  • indeholde alle privatlivsrelaterede trusler, der opstår fra det oprindelige problem.
  • indsamle en mængde beviser gennem hele løsningsprocessen.
  • inkludere eskalering, BUDR-aktiviteter og kontinuitetsplanlægning i enhver afviklingsindsats (se ISO 27002 kontrol 5.29 og 5.30).
  • logge al hændelsesrelateret aktivitet.
  • sikre, at personalet arbejder på et "need to know"-grundlag, når de håndterer hændelser med privatlivsoplysninger.
  • være konstant opmærksomme på deres ansvar over for deres kunder og eksterne organisationer, når de kommunikerer hændelser med privatlivsoplysninger og databrud.
  • lukke hændelser til et rigid sæt af løsningskriterier.
  • foretage retsmedicinske analyser (se ISO 27002 kontrol 5.28), efter behov.
  • forsøge at fastslå den underliggende årsag til en hændelse, når den er blevet løst (se ISO 27002 kontrol 5.27).
  • tage afhjælpende foranstaltninger på eventuelle tilknyttede processer, kontroller, politikker og procedurer for at styrke organisatorisk beskyttelse af privatlivets fred, når en hændelse er blevet løst.

Understøtter ISO 27002 kontroller

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

Indeks over linkede EU GDPR-artikler, ISO 27701-klausuler og ISO 27002-kontroller

GDPR artikelISO 27701 klausulISO 27002 kontrol
EU GDPR artikel 34(1), 34(2), 34(3)(a), 34(3)(b), 34(3)(c) og 34(4) ISO 27701 6.13.1.1 ISO 27002 5.25
ISO 27002 5.26
ISO 27002 5.5
ISO 27002 5.6
ISO 27002 6.8
ISO 27002 8.15
ISO 27002 8.16
EU GDPR artikel 34 (1) og 34 (2) ISO 27701 6.13.1.5 ISO 27002 5.24
ISO 27002 5.27
ISO 27002 5.28
ISO 27002 5.29
ISO 27002 5.30

Hvordan ISMS.online hjælper

Et brud på GDPR kan resultere i betydelige bøder, hvilket gør det til en af ​​verdens skrappeste regler for privatliv og sikkerhed. Som følge heraf indebærer det, at organisationer skal beskytte personoplysninger i et "rimeligt" omfang.

Men her er de gode nyheder.

På et sikkert sted, der altid er på, gør ISMS.online det nemt for dig at springe direkte ind i GDPR-overholdelse og demonstrere et beskyttelsesniveau, der rækker ud over 'rimeligt'.

Vi gør datakortlægning til en simpel opgave. Ved at tilføje din organisations detaljer til vores prækonfigurerede dynamiske værktøj til registrering af behandlingsaktivitet, kan du nemt registrere og gennemgå det hele.

Hvis det værste sker, er du klar.

Med vores værktøjer kan du planlægge, kommunikere, dokumentere og lære af ethvert brud.

Find ud af mere ved booking af en kort 30 minutters demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!