Kuinka osoittaa GDPR-artiklan 34 noudattaminen

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

Varaa demo

pohja,näkymä,modernista,pilvenpiirtäjistä,liiketoiminnassa,piirissä,vastaan,sinistä

GDPR Artiklassa 34 määritellään organisaation velvollisuus ilmoittaa rekisteröidyille tietoturvaloukkauksesta, joka todennäköisesti aiheuttaa merkittävän riskin heidän oikeuksilleen ja vapauksilleen yksilöinä.

GDPR artiklan 34 lakiteksti

EU:n GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.

  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.

    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.

    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi, harkittuaan todennäköisyyttä, että henkilötietojen tietoturvaloukkaus johtaa suureen riskiin, vaatia sitä tekemään niin tai päättää, että jokin ehdoista viitataan 3 kohdan mukaiset vaatimukset täyttyvät.

Yhdistyneen kuningaskunnan GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.

  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.

    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.

    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.

  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, komissaari, harkittuaan todennäköisyyttä, että henkilötietoturvaloukkaus johtaa suureen riskiin, voi vaatia sitä tekemään niin tai päättää, että jokin mainituista ehdoista täyttyy. 3 kohdan mukaiset vaatimukset täyttyvät.
Siirry aiheeseen

Tekninen kommentti

GDPR:n artikla 34 tekee selväksi, että kaikista rikkomuksista ei pidä ilmoittaa rekisteröidyille. Organisaatioiden tulee kuitenkin ilmoittaa rikkomuksen yksityiskohdat, jos se todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Artiklassa 34 hahmotellaan kolme pääaluetta, joihin on keskityttävä ilmoitettaessa tietoturvaloukkauksesta:

  • Käytetty kieli.

  • Tietyt tiedot, jotka ilmoitetaan.

  • Miten viestintä tapahtuu.

Rekisterinpitäjillä ei ole velvollisuutta ilmoittaa rikkomuksesta seuraavissa kolmessa tilanteessa:

  1. Organisaatiolla on "asianmukaiset tekniset ja organisatoriset suojatoimenpiteet".

  2. Se toteuttaa "myöhemmät toimenpiteet" rikkomisen lieventämiseksi.

  3. Rikkomuksesta ilmoittaminen vaatisi suhteettoman paljon vaivaa.

ISO 27701 -lauseke 6.13.1.1 (Vastuu ja menettelyt) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) ja 34 (4).

Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:

  1. Noudata tietosuojatietoturvatapahtumien raportointitapaa.

  2. Luo joukko prosesseja, jotka hallitsevat yksityisyyden tietoturvaan liittyviä tapahtumia kaikkialla yrityksessä, mukaan lukien:

    • Hallinto.

    • Dokumentointi.

    • Havaitseminen.

    • Triage.

    • Prioriteetti.

    • Analyysi.

    • Viestintä.
  3. Laadi tapausten reagointimenettely, jonka avulla organisaatio voi arvioida tapauksia, reagoida niihin ja oppia niistä.

  4. Varmista, että tapauksia hallitsee koulutettu ja pätevä henkilöstö, joka hyötyy jatkuvasta työpaikan koulutus- ja sertifiointiohjelmista.

Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:

  1. Tapauksen ratkaisemiseen tarvittava aika.

  2. Mahdolliset seuraukset.

  3. Tapahtuman vakavuus.

Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:

  1. Arvioi tapahtumia tiukkojen kriteerien mukaisesti, mikä vahvistaa ne hyväksytyiksi tapahtumiksi.

  2. Luokittele tietosuojan tietoturvatapahtumat viiteen ala-aiheeseen:

    • Valvonta (katso ISO 27002 Kontrollit 8.15 ja 8.16).

    • Tunnistus (katso ISO 27002 Control 8.16).

    • Luokitus (katso ISO 27002 Control 5.25).

    • Analyysi.

    • Raportointi (katso ISO 27002 Control 6.8).
  3. Ratkaiseessaan tietosuojaa koskevia tietoturvaloukkauksia organisaatioiden tulee:

    • Vastaa ja eskaloi ongelmat (katso ISO 27002 Control 5.26) tapahtumatyypin mukaan.

    • Aktivoi kriisinhallinta ja liiketoiminnan jatkuvuussuunnitelmat.

    • Vaikuttaa ohjattuun toipumiseen tapahtumasta, joka lieventää toiminnallisia ja/tai taloudellisia vahinkoja.

    • Varmista, että tapahtumiin liittyvistä tapahtumista tiedotetaan perusteellisesti kaikille asiaankuuluville henkilöille.
  4. Osallistu yhteistyöhön (katso ISO 27002 Controls 5.5 ja 5.6).

  5. Kirjaa kaikki tapahtumanhallintaan perustuvat toiminnot.

  6. Vastaa tapahtumiin liittyvien todisteiden käsittelystä (katso ISO 27002 Control 5.28).

  7. Suorita perusteellinen perussyyanalyysi minimoidaksesi vaaran, että tapahtuma toistuisi, mukaan lukien ehdotetut muutokset prosesseihin.

Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:

  1. Toimenpiteet, jotka on suoritettava tietoturvatapahtuman sattuessa.

  2. Tapahtumalomakkeita, jotka tallentavat tietoja koko tapahtuman ajan.

  3. Päästä päähän -palauteprosessit kaikille asiaankuuluville henkilöille.

  4. Tapahtumaraportit kertovat yksityiskohtaisesti, mitä tapahtui, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

ISO 27701 -lauseke 6.13.1.5 (Reagointi tietoturvahäiriöihin) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (2) ja 34 (1)

Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).

Organisaatioiden tulee:

  1. Sisällytä kaikki alkuperäisestä ongelmasta johtuvat yksityisyyteen liittyvät uhat.

  2. Kerää todisteita koko ratkaisuprosessin ajan.

  3. Sisällytä eskalointi, BUDR-toiminnot ja jatkuvuuden suunnittelu kaikkiin ratkaisutoimiin (katso ISO 27002 -säädöt 5.29 ja 5.30).

  4. Kirjaa kaikki tapahtumaan liittyvät toimet.

  5. Varmista, että henkilökunta toimii "tarve tietää" -periaatteella käsitellessään yksityisyyttä koskevia tietoja.

  6. Ole jatkuvasti tietoinen heidän velvollisuuksistaan ​​asiakkaitaan ja ulkopuolisia organisaatioita kohtaan, kun tiedotat tietosuojatapauksista ja tietoturvaloukkauksista.

  7. Sulje tapaukset tiukkojen ratkaisukriteerien mukaisesti.

  8. Suorita rikostekninen analyysi (katso ISO 27002 Control 5.28) tarpeen mukaan.

  9. Yritä selvittää tapahtuman taustalla oleva syy, kun se on ratkaistu (katso ISO 27002 Control 5.27).

  10. Ryhdy korjaaviin toimenpiteisiin liittyvissä prosesseissa, hallinnassa, käytännöissä ja menettelyissä vahvistaaksesi organisaation yksityisyyden suojaa, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artiklat 34 (1)–34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
EU:n GDPR:n artikla 34 (2) ja 34 (1)ISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Miten ISMS.online Ohje

Sisäänrakennetun ohjeistuksen ja "Ota käyttöön, mukauta, lisää" -toteutustapamme ansiosta ISMS.online tekee GDPR-vaatimustenmukaisuuden osoittamisesta helppoa. Saatavillasi on myös joukko tehokkaita aikaa säästäviä ominaisuuksia.

Intuitiivisen alustamme avulla voit saavuttaa useita tietoturva- ja tietosuojatavoitteita kartoittamalla työsi useiden standardien ja puitteiden mukaan.

Jos tarvitset apua tai neuvoja matkallasi kohti GDPR:ää, voimme tarjota oman asiantuntijatiimimme saataville tai suositella luotettavaa kumppania, joka voi auttaa.

Lisätietoja: varata demo.

Olen suorittanut ISO 27001:n kovalla tavalla, joten arvostan todella sitä, kuinka paljon aikaa säästyimme ISO 27001 -sertifikaatin saavuttamisessa.

Carl Vaughan
Infosec-johto, MetCloud

Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja