Hvad kræver kontrol A.3.12?
Reaktioner på informationssikkerhedshændelser relateret til behandling af personoplysninger skal ske i overensstemmelse med de dokumenterede procedurer.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og arbejder hånd i hånd med A.3.11 Hændelseshåndtering, som dækker planlægning og forberedelse. Hvor A.3.11 Hændelseshåndtering sikrer, at du har en plan, A.3.12 sikrer, at du følger den, når en reel hændelse indtræffer.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.12) indeholder separat vejledning til dataansvarlige og databehandlere:
For PII-controllere
- Overtrædelsesvurdering — En PII-hændelse bør udløse en gennemgang for at fastslå, om der er sket et brud, der kræver en formel reaktion
- Ryd notifikationer — Underretninger til tilsynsmyndigheder og berørte personer bør være klare, indeholde et kontaktpunkt for yderligere information, beskrive arten og konsekvenserne af bruddet og skitsere de trufne eller foreslåede foranstaltninger.
- Omfattende register over brud — Opbevar en fortegnelse, der indeholder: beskrivelse af bruddet, tidsperiode, konsekvenser, hvem der rapporterede det, de skridt, der er taget for at håndtere det, og de personoplysninger, der blev kompromitteret
For PII-processorer
- Kontraktbaseret notifikation — Følg de underretningsbestemmelser, der er aftalt i kundens (den dataansvarliges) kontrakt
- Begrænsninger i omfanget — Underretningspligten omfatter ikke brud forårsaget af kunden (den dataansvarlige) selv
- Definerede svartider — Aftal og dokumenter svartidsfrister for anmeldelse af brud til den dataansvarlige
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.12 knytter sig til GDPR Artikel 33(1-5), der omhandler anmeldelse af brud på persondatasikkerheden til tilsynsmyndighederne, og artikel 34(1-2), der omhandler meddelelse af brud til de registrerede. GDPR kræver, at anmeldelser af brud omfatter bruddets art, kategorier og det omtrentlige antal berørte registrerede, de sandsynlige konsekvenser og de foranstaltninger, der er truffet for at håndtere bruddet.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.13.1.5, som omhandlede reaktion på informationssikkerhedshændelser. 2025-udgaven bevarer kernekravene som A.3.12 med en klarere adskillelse af ansvaret for dataansvarlige og databehandlere i B.3.12-vejledningen. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.12 vil revisorer typisk se efter:
- Overtrædelsesregister — En vedligeholdt log over alle PII-hændelser, herunder dem, der er vurderet og fundet ikke at udgøre et indberetningspligtigt brud
- Meddelelsesoptegnelser — Kopier af meddelelser sendt til tilsynsmyndigheder og berørte personer, med tidsstempler, der viser overholdelse af de krævede frister
- Vurderingsdokumentation — Optegnelser, der viser, hvordan hver hændelse blev vurderet med hensyn til alvorlighed, og om den opfyldte tærsklen for anmeldelse
- Erfaringer — Dokumentation for, at hændelser gennemgås efter løsning, og at forbedringer føres tilbage til hændelsesstyringsprocessen.
- Processormeddelelser — Hvor det er relevant, optegnelser over meddelelser om brud modtaget fra eller sendt til databehandlere, med dokumentation for, at de kontraktlige tidsfrister blev overholdt
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.11 Hændelsesplanlægning | Fastlægger de dokumenterede procedurer, som A.3.12 kræver, at du følger |
| A.3.14 Beskyttelse af optegnelser | Databaser over brud skal beskyttes mod tab, ødelæggelse eller uautoriseret adgang |
| A.3.13 Juridiske og kontraktlige krav | Underretningsforpligtelserne er baseret på gældende lovkrav |
| A.3.10 Leverandøraftaler | Tidsfrister for underretning af databrud hos databehandlere bør defineres i leverandøraftaler |
| A.3.15 Uafhængig gennemgang | Evalueringer bør vurdere, om procedurerne for håndtering af hændelser er effektive |
Hvem gælder denne kontrol for?
A.3.12 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere, dog med forskellige ansvarsområder. Dataansvarlige er ansvarlige for at vurdere alvoren af brud, underrette tilsynsmyndigheder og kommunikere med berørte registrerede. Databehandlere skal underrette deres dataansvarlige omgående og inden for aftalte tidsfrister, men er typisk ikke ansvarlige for at underrette tilsynsmyndigheder eller registrerede direkte, selvom nogle jurisdiktioner kan kræve, at databehandlere underretter tilsynsmyndighederne om PII-brud.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til respons på PII-hændelser?
ISMS.online giver praktiske værktøjer til håndtering af PII-brud fra opdagelse til løsning:
- Guidede arbejdsgange for hændelser — Trinvise responsprocesser, der sikrer, at intet overses, fra indledende triage til vurdering, underretning og afslutning
- Overtrædelsesregister — En omfattende log, der opfylder standardens krav til registrering, herunder beskrivelse af bruddet, tidslinje, konsekvenser, berørte personoplysninger og afhjælpningstrin
- Sporing af anmeldelsesfrister — Automatiserede nedtællingstimere mod lovgivningsmæssige deadlines såsom GDPR's 72-timers vindue, med eskaleringsadvarsler
- Bevisindsamling — Vedhæft bilag, skærmbilleder og kommunikation til hver hændelsesregistrering for at få et komplet revisionsspor
- Gennemgang efter hændelsen — Registrer de erfaringer, og knyt korrigerende handlinger til dit risikoregister og din forbedringsplan
- Koordinering mellem dataansvarlig og databehandler — Strukturerede notifikationsworkflows mellem controllere og processorer med tidsstempelsporing
Ofte Stillede Spørgsmål
Hvad er forskellen på en PII-hændelse og et PII-brud?
En PII-hændelse er enhver hændelse, der kan påvirke sikkerheden af personoplysninger. Et PII-brud er en bekræftet hændelse, hvor PII er blevet kompromitteret gennem uautoriseret adgang, videregivelse, ændring, tab eller ødelæggelse. Ikke alle hændelser resulterer i et brud. Vurderingstrinnet i A.3.12 er specifikt designet til at afgøre, om en hændelse har krydset tærsklen til et anmeldeligt brud.
Hvad skal en anmeldelse af brud indeholde?
I henhold til implementeringsvejledningen og GDPR artikel 33(3) skal en anmeldelse af brud indeholde: en beskrivelse af bruddets art, et udpeget kontaktpunkt for yderligere information, en beskrivelse af de sandsynlige konsekvenser og en beskrivelse af de foranstaltninger, der er truffet eller foreslået for at håndtere bruddet. Oplysninger kan gives i faser, hvis ikke alle oplysninger er tilgængelige på tidspunktet for den første anmeldelse.
Skal en databehandler underrette de registrerede direkte?
Nej. Databehandlerens pligt er at underrette den dataansvarlige uden unødig forsinkelse. Den dataansvarlige vurderer derefter bruddet og afgør, om det er nødvendigt at underrette tilsynsmyndigheder og registrerede. Databehandleren skal dog dokumentere bruddet og den underretning, der er sendt til den dataansvarlige, og bør have aftalt svartidsfrister i behandlingskontrakten.
Forstå de fulde omkostningsmæssige konsekvenser af privatlivshændelser i vores omkostninger ved manglende overholdelse vs. certificering analyse.
Se vores vejledning om krav til revisionsbeviser for den hændelsesdokumentation, som revisorer forventer.
