Forståelse af GDPR Artikel 34: Hvornår og hvordan man underretter enkeltpersoner om databrud
GDPR Artikel 34 skitserer en organisations forpligtelse til at informere de registrerede om et databrud, som sandsynligvis vil resultere i en betydelig risiko for deres rettigheder og friheder som enkeltpersoner.
GDPR Artikel 34 Lovtekst
EU GDPR-version
Kommunikation af et brud på persondatasikkerheden til den registrerede
- Når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og friheder, skal den dataansvarlige meddele bruddet på persondatasikkerheden til den registrerede uden unødig forsinkelse.
- Meddelelsen til den registrerede, der er omhandlet i stk. 1 i denne artikel, skal på et klart og klart sprog beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i litra b), c) og d. ) i artikel 33, stk.
- Den i stk. 1 omhandlede meddelelse til den registrerede er ikke nødvendig, hvis en af følgende betingelser er opfyldt:
- a) den dataansvarlige har implementeret passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger blev anvendt på de personoplysninger, der er berørt af bruddet på persondatasikkerheden, især dem, der gør personoplysningerne uforståelige for enhver person, der ikke har tilladelse til at få adgang til dem, såsom kryptering.
- b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og friheder, som omhandlet i stk.
- c) det ville medføre en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet være tale om en offentlig kommunikation eller lignende foranstaltning, hvorved de registrerede informeres på en lige så effektiv måde.
- Hvis den dataansvarlige ikke allerede har kommunikeret bruddet på persondatasikkerheden til den registrerede, kan tilsynsmyndigheden, efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden medfører en høj risiko, kræve, at den gør det eller beslutte, at en af de betingelser, der henvises til. til i stk. 3 er opfyldt.
UK GDPR-version
Kommunikation af et brud på persondatasikkerheden til den registrerede
- Når bruddet på persondatasikkerheden sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og friheder, skal den dataansvarlige meddele bruddet på persondatasikkerheden til den registrerede uden unødig forsinkelse.
- Meddelelsen til den registrerede, der er omhandlet i stk. 1 i denne artikel, skal på et klart og klart sprog beskrive arten af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i litra b), c) og d. ) i artikel 33, stk.
- Den i stk. 1 omhandlede meddelelse til den registrerede er ikke nødvendig, hvis en af følgende betingelser er opfyldt:
- a) den dataansvarlige har implementeret passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger blev anvendt på de personoplysninger, der er berørt af bruddet på persondatasikkerheden, især dem, der gør personoplysningerne uforståelige for enhver person, der ikke har tilladelse til at få adgang til dem, såsom kryptering.
- b) den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og friheder, som omhandlet i stk.
- c) det ville medføre en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet være tale om en offentlig kommunikation eller lignende foranstaltning, hvorved de registrerede informeres på en lige så effektiv måde.
- Hvis den dataansvarlige ikke allerede har kommunikeret bruddet på persondatasikkerheden til den registrerede, kan kommissæren, efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden medfører en høj risiko, kræve, at denne gør det eller kan beslutte, at nogen af de betingelser, der henvises til, 3 er opfyldt.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
GDPR artikel 34 gør det klart, at ikke alle brud skal kommunikeres til registrerede. Organisationer bør dog meddele detaljerne om et brud, når det sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder.
Artikel 34 skitserer tre hovedområder at fokusere på, når der kommunikeres om et databrud:
- Det anvendte sprog.
- De specifikke detaljer, der kommunikeres.
- Hvordan kommunikationen foregår.
Controllere er ikke forpligtet til at kommunikere et brud under følgende tre scenarier:
- Organisationen har "passende tekniske og organisatoriske beskyttelsesforanstaltninger" på plads.
- Det tager "efterfølgende foranstaltninger" for at afbøde bruddet.
- At kommunikere bruddet ville kræve en uforholdsmæssig indsats.
ISO 27701 paragraf 6.13.1.1 (Ansvar og procedurer) og GDPR artikel 34
I dette afsnit taler vi om GDPR artikel 34(1), 34(2), 34(3)(a), 34(3)(b), 34(3)(c) og 34(4)
For at skabe en sammenhængende, velfungerende hændelsesstyringspolitik, der sikrer tilgængeligheden og integriteten af privatlivsoplysninger under kritiske hændelser, bør organisationer:
- Overhold en metode til rapportering af hændelser vedrørende beskyttelse af personlige oplysninger.
- Etabler en række processer, der håndterer datasikkerhedsrelaterede hændelser på tværs af virksomheden, herunder:
- Administration.
- Dokumentation.
- Opdagelse.
- Triage.
- Prioritering.
- Analyse.
- Meddelelse.
- Udarbejd en hændelsesprocedure, der gør det muligt for organisationen at vurdere, reagere på og lære af hændelser.
- Sikre, at hændelser håndteres af uddannet og kompetent personale, som nyder godt af løbende trænings- og certificeringsprogrammer på arbejdspladsen.
Personale, der er involveret i hændelser vedrørende privatlivsinformationssikkerhed, bør forstå:
- Den tid, det bør tage at løse en hændelse.
- Eventuelle potentielle konsekvenser.
- Hændelsens alvor.
Når personalet beskæftiger sig med hændelser vedrørende privatlivsinformationssikkerhed, bør:
- Vurder hændelser i overensstemmelse med strenge kriterier, der validerer dem som godkendte hændelser.
- Kategoriser hændelser vedrørende beskyttelse af personlige oplysninger i 5 underemner:
- Overvågning (se ISO 27002 Kontrol 8.15 og 8.16).
- Detektion (se ISO 27002 kontrol 8.16).
- Klassificering (se ISO 27002 Kontrol 5.25).
- Analyse.
- Rapportering (se ISO 27002 Kontrol 6.8).
- Når de løser hændelser vedrørende beskyttelse af privatlivets fred, bør organisationer:
- Reaktion og eskalering af problemer (se ISO 27002 Kontrol 5.26) i overensstemmelse med typen af hændelse.
- Aktiver krisestyring og forretningskontinuitetsplaner.
- Påvirke en administreret genopretning fra en hændelse, der afbøder operationel og/eller økonomisk skade.
- Sikre grundig kommunikation af hændelsesrelaterede hændelser til alt relevant personale.
- Deltag i samarbejde (se ISO 27002 kontrol 5.5 og 5.6).
- Log alle hændelsesstyrede aktiviteter.
- Være ansvarlig for håndteringen af hændelsesrelateret bevismateriale (se ISO 27002 Kontrol 5.28).
- Foretag en grundig årsagsanalyse for at minimere risikoen for, at hændelsen sker igen, herunder foreslåede ændringer af eventuelle processer.
Rapporteringsaktiviteter bør være centreret omkring 4 nøgleområder:
- Handlinger, der skal udføres, når en informationssikkerhedsbegivenhed indtræffer.
- Hændelsesformularer, der registrerer information gennem en hændelse.
- End-to-end feedbackprocesser til alt relevant personale.
- Hændelsesrapporter, der beskriver, hvad der er sket, når en hændelse er blevet løst.
Understøtter ISO 27002 kontroller
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.13.1.5 (Respons to Information Security Incidents) og GDPR artikel 34
I dette afsnit taler vi om GDPR artikel 34 (2) og 34 (1)
Organisationer bør sikre, at hændelser vedrørende beskyttelse af privatlivets fred håndteres af et dedikeret teknisk team med færdigheder og ressourcer til at påvirke en hurtig løsning (se ISO 27002 Kontrol 5.24).
Organisationer bør:
- Indeholder alle privatlivsrelaterede trusler, der opstår fra det oprindelige problem.
- Indsaml en mængde beviser gennem hele løsningsprocessen.
- Inkluder eskalering, BUDR-aktiviteter og kontinuitetsplanlægning i enhver afviklingsbestræbelse (se ISO 27002 kontrol 5.29 og 5.30).
- Log al hændelsesrelateret aktivitet.
- Sørg for, at personalet arbejder på et "need to know"-grundlag, når de håndterer hændelser med privatlivsoplysninger.
- Vær konstant opmærksom på deres ansvar over for deres kunder og eksterne organisationer, når de kommunikerer hændelser med privatlivsoplysninger og databrud.
- Luk hændelser til et rigid sæt af løsningskriterier.
- Foretag retsmedicinske analyser (se ISO 27002 kontrol 5.28), efter behov.
- Søg at fastslå den underliggende årsag til en hændelse, når den er blevet løst (se ISO 27002 kontrol 5.27).
- Træf afhjælpende handlinger på alle tilknyttede processer, kontroller, politikker og procedurer for at styrke organisatorisk beskyttelse af privatlivets fred, når en hændelse er blevet løst.
Understøtter ISO 27002 kontroller
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
Understøtter ISO 27701 klausuler og ISO 27002 kontroller
| GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
|---|---|---|
| EU GDPR artikel 34 (1) til 34 (4) | ISO 27701 6.13.1.1 |
5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
| EU GDPR artikel 34 (2) og 34 (1) | ISO 27701 6.13.1.5 |
5.24 5.27 5.28 5.29 5.30 |
Hvordan ISMS.online Hjælp
På grund af indbygget vejledning og vores 'Adopter, Adapt, Add' implementeringstilgang gør ISMS.online demonstration af GDPR-overholdelse til en leg. En række kraftfulde tidsbesparende funktioner vil også være tilgængelige for dig.
Med vores intuitive platform kan du opnå flere informationssikkerheds- og privatlivsmål ved at kortlægge dit arbejde på tværs af flere standarder og rammer.
Hvis du har brug for hjælp eller rådgivning under din rejse mod GDPR, kan vi stille vores team af interne eksperter til rådighed eller anbefale en betroet partner, der kan hjælpe.
Find ud af mere ved booking af en demo.
