GDPR Artikkel 34 skisserer en organisasjons plikt til å informere registrerte om et databrudd, som sannsynligvis vil resultere i en betydelig risiko for deres rettigheter og friheter som enkeltpersoner.
Kommunikasjon av et brudd på personopplysninger til den registrerte
- Når personopplysningsbruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal behandlingsansvarlig kommunisere personopplysningsbruddet til den registrerte uten ugrunnet opphold.
- Kommunikasjonen til den registrerte som er nevnt i nr. 1 i denne artikkel, skal på et klart og tydelig språk beskrive arten av personopplysningsbruddet og inneholde minst informasjonen og tiltakene nevnt i bokstav b), c) og d. ) i artikkel 33 nr. 3.
- Kommunikasjon til den registrerte som nevnt i nr. 1 er ikke nødvendig dersom noen av følgende vilkår er oppfylt:
- (a) den behandlingsansvarlige har iverksatt passende tekniske og organisatoriske beskyttelsestiltak, og disse tiltakene ble brukt på personopplysningene som er berørt av personopplysningsbruddet, særlig de som gjør personopplysningene uforståelige for enhver person som ikke er autorisert til å få tilgang til dem, som kryptering.
- (b) den behandlingsansvarlige har truffet påfølgende tiltak som sikrer at den høye risikoen for rettighetene og frihetene til registrerte personer nevnt i nr. 1 sannsynligvis ikke lenger vil realiseres.
- (c) det vil innebære uforholdsmessig innsats. I et slikt tilfelle skal det i stedet foreligge en offentlig kommunikasjon eller lignende tiltak der de registrerte informeres på en like effektiv måte.
- Dersom den behandlingsansvarlige ikke allerede har kommunisert personopplysningsbruddet til den registrerte, kan tilsynsmyndigheten, etter å ha vurdert sannsynligheten for at personopplysningsbruddet medfører en høy risiko, kreve at den gjør det eller kan beslutte at noen av forholdene henvises til. til i nr. 3 er oppfylt.
Kommunikasjon av et brudd på personopplysninger til den registrerte
- Når personopplysningsbruddet sannsynligvis vil medføre en høy risiko for fysiske personers rettigheter og friheter, skal behandlingsansvarlig kommunisere personopplysningsbruddet til den registrerte uten ugrunnet opphold.
- Kommunikasjonen til den registrerte som er nevnt i nr. 1 i denne artikkel, skal på et klart og tydelig språk beskrive arten av personopplysningsbruddet og inneholde minst informasjonen og tiltakene nevnt i bokstav b), c) og d. ) i artikkel 33 nr. 3.
- Kommunikasjon til den registrerte som nevnt i nr. 1 er ikke nødvendig dersom noen av følgende vilkår er oppfylt:
- (a) den behandlingsansvarlige har iverksatt passende tekniske og organisatoriske beskyttelsestiltak, og disse tiltakene ble brukt på personopplysningene som er berørt av personopplysningsbruddet, særlig de som gjør personopplysningene uforståelige for enhver person som ikke er autorisert til å få tilgang til dem, som kryptering.
- (b) den behandlingsansvarlige har truffet påfølgende tiltak som sikrer at den høye risikoen for rettighetene og frihetene til registrerte personer nevnt i nr. 1 sannsynligvis ikke lenger vil realiseres.
- (c) det vil innebære uforholdsmessig innsats. I et slikt tilfelle skal det i stedet foreligge en offentlig kommunikasjon eller lignende tiltak der de registrerte informeres på en like effektiv måte.
- Dersom den behandlingsansvarlige ikke allerede har kommunisert bruddet på personopplysninger til den registrerte, kan kommissæren, etter å ha vurdert sannsynligheten for at bruddet på personopplysninger vil resultere i en høy risiko, kreve at den gjør det eller kan beslutte at noen av forholdene som henvises til i nr. 3 er oppfylt.
Etterspør et sitat
GDPR artikkel 34 gjør det klart at ikke alle brudd må kommuniseres til registrerte. Organisasjoner bør imidlertid kommunisere detaljene om et brudd når det er sannsynlig å resultere i en høy risiko for rettigheter og friheter til fysiske personer.
Artikkel 34 skisserer tre hovedområder å fokusere på når du kommuniserer et databrudd:
Kontrollører er ikke forpliktet til å kommunisere et brudd under følgende tre scenarier:
I denne delen snakker vi om GDPR artikkel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) og 34(4)
For å skape en sammenhengende, velfungerende hendelseshåndteringspolicy som sikrer tilgjengeligheten og integriteten til personverninformasjon under kritiske hendelser, bør organisasjoner:
Personale involvert i hendelser med personverninformasjon bør forstå:
Når de håndterer personverninformasjonssikkerhetshendelser, bør personalet:
Rapporteringsaktiviteter bør være sentrert rundt 4 nøkkelområder:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
I denne delen snakker vi om GDPR artikkel 34 (2) og 34 (1)
Organisasjoner bør sikre at personverninformasjonssikkerhetshendelser håndteres av et dedikert teknisk team med ferdigheter og ressurser til å påvirke en rask løsning (se ISO 27002 Kontroll 5.24).
Organisasjoner bør:
GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikkel 34 (1) til 34 (4) | ISO 27701 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikkel 34 (2) og 34 (1) | ISO 27701 | 5.24 5.27 5.28 5.29 5.30 |
På grunn av innebygd veiledning og vår «Adopter, Adapt, Add» implementeringstilnærming, gjør ISMS.online demonstrasjon av GDPR-samsvar til en lek. En rekke kraftige tidsbesparende funksjoner vil også være tilgjengelige for deg.
Med vår intuitive plattform kan du oppnå flere informasjonssikkerhets- og personvernmål ved å kartlegge arbeidet ditt på tvers av flere standarder og rammeverk.
Hvis du trenger hjelp eller råd under reisen mot GDPR, kan vi gjøre vårt team av interne eksperter tilgjengelig eller anbefale en pålitelig partner som kan hjelpe.
Finn ut mer av bestille en demo.
Jeg har gjort ISO 27001 på den harde måten, så jeg setter stor pris på hvor mye tid det sparte oss for å oppnå ISO 27001-sertifisering.