Hvordan demonstrere samsvar med GDPR artikkel 34

Kommunikasjon av et brudd på personopplysninger til den registrerte

Bestill en demonstrasjon

bunn,visning,av,moderne,skyskrapere,i,virksomhet,distrikt,mot,blått

GDPR Artikkel 34 skisserer en organisasjons plikt til å informere registrerte om et databrudd, som sannsynligvis vil resultere i en betydelig risiko for deres rettigheter og friheter som enkeltpersoner.

GDPR artikkel 34 juridisk tekst

EU GDPR-versjon

Kommunikasjon av et brudd på personopplysninger til den registrerte

  1. Når personopplysningsbruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal behandlingsansvarlig kommunisere personopplysningsbruddet til den registrerte uten ugrunnet opphold.

  2. Kommunikasjonen til den registrerte som er nevnt i nr. 1 i denne artikkel, skal på et klart og tydelig språk beskrive arten av personopplysningsbruddet og inneholde minst informasjonen og tiltakene nevnt i bokstav b), c) og d. ) i artikkel 33 nr. 3.

  3. Kommunikasjon til den registrerte som nevnt i nr. 1 er ikke nødvendig dersom noen av følgende vilkår er oppfylt:

    • (a) den behandlingsansvarlige har iverksatt passende tekniske og organisatoriske beskyttelsestiltak, og disse tiltakene ble brukt på personopplysningene som er berørt av personopplysningsbruddet, særlig de som gjør personopplysningene uforståelige for enhver person som ikke er autorisert til å få tilgang til dem, som kryptering.

    • (b) den behandlingsansvarlige har truffet påfølgende tiltak som sikrer at den høye risikoen for rettighetene og frihetene til registrerte personer nevnt i nr. 1 sannsynligvis ikke lenger vil realiseres.

    • (c) det vil innebære uforholdsmessig innsats. I et slikt tilfelle skal det i stedet foreligge en offentlig kommunikasjon eller lignende tiltak der de registrerte informeres på en like effektiv måte.
  4. Dersom den behandlingsansvarlige ikke allerede har kommunisert personopplysningsbruddet til den registrerte, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at personopplysningsbruddet medfører en høy risiko, kreve at den gjør det eller kan beslutte at noen av forholdene henvises til. til i nr. 3 er oppfylt.

UK GDPR-versjon

Kommunikasjon av et brudd på personopplysninger til den registrerte

  1. Når personopplysningsbruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal behandlingsansvarlig kommunisere personopplysningsbruddet til den registrerte uten ugrunnet opphold.

  2. Kommunikasjonen til den registrerte som er nevnt i nr. 1 i denne artikkel, skal på et klart og tydelig språk beskrive arten av personopplysningsbruddet og inneholde minst informasjonen og tiltakene nevnt i bokstav b), c) og d. ) i artikkel 33 nr. 3.

  3. Kommunikasjon til den registrerte som nevnt i nr. 1 er ikke nødvendig dersom noen av følgende vilkår er oppfylt:

    • (a) den behandlingsansvarlige har iverksatt passende tekniske og organisatoriske beskyttelsestiltak, og disse tiltakene ble brukt på personopplysningene som er berørt av personopplysningsbruddet, særlig de som gjør personopplysningene uforståelige for enhver person som ikke er autorisert til å få tilgang til dem, som kryptering.

    • (b) den behandlingsansvarlige har truffet påfølgende tiltak som sikrer at den høye risikoen for rettighetene og frihetene til registrerte personer nevnt i nr. 1 sannsynligvis ikke lenger vil realiseres.

    • (c) det vil innebære uforholdsmessig innsats. I et slikt tilfelle skal det i stedet foreligge en offentlig kommunikasjon eller lignende tiltak der de registrerte informeres på en like effektiv måte.

  4. Dersom den behandlingsansvarlige ikke allerede har kommunisert bruddet på personopplysninger til den registrerte, kan kommissæren, etter å ha vurdert sannsynligheten for at bruddet på personopplysninger vil resultere i en høy risiko, kreve at den gjør det eller kan beslutte at noen av forholdene som henvises til i nr. 3 er oppfylt.
Gå til emnet

Teknisk kommentar

GDPR artikkel 34 gjør det klart at ikke alle brudd må kommuniseres til registrerte. Organisasjoner bør imidlertid kommunisere detaljene om et brudd når det er sannsynlig å resultere i en høy risiko for rettigheter og friheter til fysiske personer.

Artikkel 34 skisserer tre hovedområder å fokusere på når du kommuniserer et databrudd:

  • Språket som brukes.

  • De spesifikke detaljene som kommuniseres.

  • Hvordan kommunikasjonen foregår.

Kontrollører er ikke forpliktet til å kommunisere et brudd under følgende tre scenarier:

  1. Organisasjonen har "passende tekniske og organisatoriske beskyttelsestiltak" på plass.

  2. Det krever "etterfølgende tiltak" for å redusere bruddet.

  3. Å kommunisere bruddet vil kreve en uforholdsmessig innsats.

ISO 27701 klausul 6.13.1.1 (Ansvar og prosedyrer) og GDPR artikkel 34

I denne delen snakker vi om GDPR artikkel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) og 34(4)

For å skape en sammenhengende, velfungerende hendelseshåndteringspolicy som sikrer tilgjengeligheten og integriteten til personverninformasjon under kritiske hendelser, bør organisasjoner:

  1. Overhold en metode for rapportering av personverninformasjonssikkerhetshendelser.

  2. Etabler en rekke prosesser som håndterer personverninformasjonssikkerhetsrelaterte hendelser på tvers av virksomheten, inkludert:

    • Administrasjon.

    • Dokumentasjon.

    • Gjenkjenning.

    • Prioritering.

    • Prioritering.

    • Analyse.

    • Kommunikasjon.
  3. Lag et utkast til en hendelsesprosedyre som gjør organisasjonen i stand til å vurdere, reagere på og lære av hendelser.

  4. Sikre at hendelser håndteres av opplært og kompetent personell som drar nytte av pågående opplæring og sertifiseringsprogrammer på arbeidsplassen.

Personale involvert i hendelser med personverninformasjon bør forstå:

  1. Tiden det bør ta å løse en hendelse.

  2. Eventuelle konsekvenser.

  3. Alvorlighetsgraden av hendelsen.

Når de håndterer personverninformasjonssikkerhetshendelser, bør personalet:

  1. Vurder hendelser i henhold til strenge kriterier som validerer dem som godkjente hendelser.

  2. Kategoriser personverninformasjonssikkerhetshendelser i 5 underemner:

    • Overvåking (se ISO 27002 Kontroller 8.15 og 8.16).

    • Deteksjon (se ISO 27002 Kontroll 8.16).

    • Klassifisering (se ISO 27002 Kontroll 5.25).

    • Analyse.

    • Rapportering (se ISO 27002 Kontroll 6.8).
  3. Når organisasjoner løser hendelser med sikkerhet for personverninformasjon, bør:

    • Respons og eskalere problemer (se ISO 27002 Kontroll 5.26) i henhold til type hendelse.

    • Aktiver krisehåndtering og forretningskontinuitetsplaner.

    • Påvirke en administrert utvinning fra en hendelse som reduserer operasjonell og/eller økonomisk skade.

    • Sikre grundig kommunikasjon av hendelsesrelaterte hendelser til alt relevant personell.
  4. Delta i samarbeid (se ISO 27002 kontroller 5.5 og 5.6).

  5. Logg alle hendelsesadministrerte aktiviteter.

  6. Være ansvarlig for håndtering av hendelsesrelatert bevis (se ISO 27002 Kontroll 5.28).

  7. Foreta en grundig grunnårsaksanalyse for å minimere risikoen for at hendelsen skjer igjen, inkludert foreslåtte endringer i eventuelle prosesser.

Rapporteringsaktiviteter bør være sentrert rundt 4 nøkkelområder:

  1. Handlinger som må iverksettes når en informasjonssikkerhetshendelse inntreffer.

  2. Hendelsesskjemaer som registrerer informasjon gjennom en hendelse.

  3. End-to-end tilbakemeldingsprosesser til alt relevant personell.

  4. Hendelsesrapporter som beskriver hva som har skjedd når en hendelse er løst.

Støtter ISO 27002 kontroller

  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISO 27701 klausul 6.13.1.5 (Respons to Information Security Incidents) og GDPR artikkel 34

I denne delen snakker vi om GDPR artikkel 34 (2) og 34 (1)

Organisasjoner bør sikre at personverninformasjonssikkerhetshendelser håndteres av et dedikert teknisk team med ferdigheter og ressurser til å påvirke en rask løsning (se ISO 27002 Kontroll 5.24).

Organisasjoner bør:

  1. Inneholder personvernrelaterte trusler som oppstår fra det opprinnelige problemet.

  2. Samle en mengde bevis gjennom løsningsprosessen.

  3. Inkluder eskalering, BUDR-aktiviteter og kontinuitetsplanlegging i alle resolusjonstiltak (se ISO 27002 kontroller 5.29 og 5.30).

  4. Logg all hendelsesrelatert aktivitet.

  5. Sørg for at personalet opererer på en "need to know"-basis når de håndterer hendelser med personverninformasjon.

  6. Vær kontinuerlig oppmerksom på deres ansvar overfor sine kunder og eksterne organisasjoner når du kommuniserer hendelser med personverninformasjon og datainnbrudd.

  7. Lukk hendelser til et rigid sett med løsningskriterier.

  8. Foreta rettsmedisinske analyser (se ISO 27002 kontroll 5.28), etter behov.

  9. Forsøk å fastslå den underliggende årsaken til en hendelse når den er løst (se ISO 27002 kontroll 5.27).

  10. Ta korrigerende tiltak på eventuelle tilknyttede prosesser, kontroller, retningslinjer og prosedyrer for å styrke organisatorisk personvern når en hendelse er løst.

Støtter ISO 27002 kontroller

  • ISO 27002

  • ISO 27002

  • ISO 27002

  • ISO 27002

  • ISO 27002

Støtter ISO 27701-klausuler og ISO 27002-kontroller

GDPR-artikkelISO 27701 klausulISO 27002 kontroller
EU GDPR artikkel 34 (1) til 34 (4)ISO 277015.25
5.26
5.5
5.6
6.8
8.15
8.16
EU GDPR artikkel 34 (2) og 34 (1)ISO 277015.24
5.27
5.28
5.29
5.30

Hvordan ISMS.online Hjelp

På grunn av innebygd veiledning og vår «Adopter, Adapt, Add» implementeringstilnærming, gjør ISMS.online demonstrasjon av GDPR-samsvar til en lek. En rekke kraftige tidsbesparende funksjoner vil også være tilgjengelige for deg.

Med vår intuitive plattform kan du oppnå flere informasjonssikkerhets- og personvernmål ved å kartlegge arbeidet ditt på tvers av flere standarder og rammeverk.

Hvis du trenger hjelp eller råd under reisen mot GDPR, kan vi gjøre vårt team av interne eksperter tilgjengelig eller anbefale en pålitelig partner som kan hjelpe.

Finn ut mer av bestille en demo.

Jeg har gjort ISO 27001 på den harde måten, så jeg setter stor pris på hvor mye tid det sparte oss for å oppnå ISO 27001-sertifisering.

Carl Vaughan
Infosec-leder, MetCloud

Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer