Hoe om voldoening aan GDPR Artikel 33 te demonstreer

GDPR Artikel 33-nakoming verduidelik die verpligting van databeheerders om persoonlike data-oortredings binne 72 uur by toesighoudende owerhede aan te meld, met besonderhede oor vereiste oortredingkennisgewings, risiko-evaluerings en versagtingsmaatreëls om regulatoriese nakoming te verseker.

Bespreek 'n demo
skrywer
Max Edwards
Opgedateer 11 Maart 2025
LinkedIn Twitter Twitter

Wat is GDPR Artikel 33? 'n Vinnige oorsig van voldoeningsvereistes

BBP Artikel 33 handel oor 'n organisasie se verpligting om die relevante wetlike of regulerende owerheid in kennis te stel wanneer die regte en vryhede van 'n individu in gevaar gestel is, as gevolg van hul optrede (of 'n vennoot derde party se optrede) as 'n databeheerder.

GDPR Artikel 33 Regstekst

EU GDPR weergawe

Kennisgewing van 'n persoonlike data-oortreding aan die toesighoudende owerheid

  1. In die geval van 'n persoonlike data-oortreding moet die beheerder sonder onnodige vertraging en, waar moontlik, nie later nie as 72 uur nadat dit bewus geraak is, die oortreding van persoonlike inligting aan die toesighoudende gesag wat ingevolge artikel 55 bevoeg is, in kennis stel, tensy die Dit is onwaarskynlik dat persoonlike oortredings 'n risiko vir die regte en vryhede van natuurlike persone sal veroorsaak. Waar die kennisgewing aan die toesighoudende owerheid nie binne 72 uur gedoen word nie, sal dit vergesel word van redes vir die vertraging.
  2. Die verwerker sal die beheerder sonder onnodige vertraging in kennis stel nadat hy bewus geword het van 'n persoonlike data-oortreding.
  3. Die kennisgewing bedoel in paragraaf 1 moet ten minste:

    • Beskryf die aard van die skending van persoonlike data, insluitend waar moontlik, die kategorieë en benaderde aantal betrokke datasubjekte en die betrokke kategorieë en benaderde aantal persoonlike datarekords;
    • Kommunikeer die naam en kontakbesonderhede van die databeskermingsbeampte of ander kontakpunt waar meer inligting verkry kan word;
    • Beskryf die waarskynlike gevolge van die skending van persoonlike data;
    • Beskryf die maatreëls wat deur die kontroleerder geneem of voorgestel word om te neem om die skending van persoonlike data aan te spreek, insluitend, waar toepaslik, maatreëls om die moontlike nadelige gevolge daarvan te versag.
  4. Waar, en in soverre dit nie moontlik is om die inligting terselfdertyd te verskaf nie, kan die inligting sonder onnodige verdere vertraging in fases verskaf word.
  5. Die kontroleerder sal enige persoonlike data-oortredings dokumenteer, wat die feite met betrekking tot die persoonlike data-skending, die gevolge daarvan en die regstellende stappe wat geneem is, bevat. Daardie dokumentasie sal die toesighoudende owerheid in staat stel om voldoening aan hierdie Artikel te verifieer.

Britse GDPR-weergawe

Kennisgewing van 'n persoonlike data-oortreding aan die Kommissaris

  1. In die geval van 'n skending van persoonlike data, moet die kontroleerder sonder onnodige vertraging en, waar moontlik, nie later nie as 72 uur nadat hy daarvan bewus geword het, die skending van persoonlike data aan die Kommissaris in kennis stel, tensy die skending van persoonlike data onwaarskynlik is lei tot 'n risiko vir die regte en vryhede van natuurlike persone. Waar die kennisgewing ingevolge hierdie paragraaf nie binne 72 uur gedoen word nie, moet dit vergesel word van redes vir die vertraging.
  2. Die verwerker sal die beheerder sonder onnodige vertraging in kennis stel nadat hy bewus geword het van 'n persoonlike data-oortreding.
  3. Die kennisgewing bedoel in paragraaf 1 moet ten minste:

    • Beskryf die aard van die skending van persoonlike data, insluitend waar moontlik, die kategorieë en benaderde aantal betrokke datasubjekte en die betrokke kategorieë en benaderde aantal persoonlike datarekords;
    • Kommunikeer die naam en kontakbesonderhede van die databeskermingsbeampte of ander kontakpunt waar meer inligting verkry kan word;
    • Beskryf die waarskynlike gevolge van die skending van persoonlike data;
    • Beskryf die maatreëls wat deur die kontroleerder geneem of voorgestel word om te neem om die skending van persoonlike data aan te spreek, insluitend, waar toepaslik, maatreëls om die moontlike nadelige gevolge daarvan te versag.
  4. Waar, en in soverre dit nie moontlik is om die inligting terselfdertyd te verskaf nie, kan die inligting sonder onnodige verdere vertraging in fases verskaf word.
  5. Die kontroleerder sal enige persoonlike data-oortredings dokumenteer, wat die feite met betrekking tot die persoonlike data-skending, die gevolge daarvan en die regstellende stappe wat geneem is, bevat. Daardie dokumentasie sal die Kommissaris in staat stel om voldoening aan hierdie Artikel te verifieer.


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Tegniese Kommentaar

Behalwe om alle gebeure rondom 'n oortreding deeglik te dokumenteer, moet organisasies dit ook oorweeg ses bepalende faktore wanneer 'n data-oortreding opgetree word:

  1. Die definisie van 'n skending – ''n skending van sekuriteit wat lei tot die toevallige of onwettige vernietiging, verlies, verandering, ongemagtigde openbaarmaking van, of toegang tot, persoonlike data wat versend, gestoor of andersins verwerk is.
  2. Die handhawing van akute bewustheid van 'n oortreding en verkryging van 'n 'redelike mate van ondersoek' wanneer 'n vermoedelike oortreding plaasgevind het.
  3. Om bewus te wees van die risiko's vir individuele vryhede wat 'n data-oortreding kan veroorsaak, en hoe waarskynlik hierdie risiko's hulself voordoen.
  4. Die erns van die risiko, insluitend.

    • Die risikokategorie.
    • Die hoeveelheid data wat geraak word en die grootte van die oortreding.
    • Hoe hulle in staat is om enige geaffekteerde individue te identifiseer.
    • Hoe ernstig die oortreding is in terme van tasbare gevolge vir enige individue wat daardeur geraak word (en hoe kwesbaar hulle is).
    • Die aard van die organisasie se besigheid, en of dit 'n hoër risiko inhou (bv. finansiële data).

  5. Waar moontlik, die behoefte om enige beheerowerhede in kennis te stel binne 72 uur.
  6. Die behoefte om 'n geldige rede te verskaf om die owerhede te kontak nadat 72 uur verloop het, as dit gebeur.

Wanneer die toesighoudende owerheid in kennis gestel word, moet organisasies:

  • Beskryf die aard van die oortreding.
  • Wys 'n kontakpunt aan.
  • Skets die waarskynlikheid van enige gevolge.
  • Beskryf enige aksies wat geneem is in reaksie op die oortreding.
  • Verskaf enige bykomende besonderhede wat relevant is vir die oortreding.

ISO 27701 Klousule 6.13.1.1 (Verantwoordelikhede en Prosedures) en EU GDPR Artikels 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) en 34 (4)

Om 'n samehangende, hoogs funksionerende voorvalbestuurbeleid te skep wat die beskikbaarheid en integriteit van privaatheidsinligting tydens kritieke voorvalle beskerm, moet organisasies:

  1. Volg 'n metode om privaatheidsinligtingsekuriteitsgebeure aan te meld.
  2. Vestig 'n reeks prosesse wat privaatheidinligtingsekuriteitverwante voorvalle regoor die besigheid bestuur, insluitend:

    • Administrasie.
    • Dokumentasie.
    • Opsporing.
    • Triage.
    • Prioritering.
    • Analise.
    • Kommunikasie.

  3. Stel 'n insidentreaksieprosedure op wat die organisasie in staat stel om voorvalle te assesseer, daarop te reageer en daaruit te leer.
  4. Verseker dat insidente bestuur word deur opgeleide en bekwame personeel wat voordeel trek uit deurlopende werkplekopleiding en sertifiseringsprogramme

Personeel wat betrokke is by privaatheidsinligtingsekuriteitvoorvalle moet verstaan:

  • Die tyd wat dit moet neem om 'n voorval op te los.
  • Enige moontlike gevolge.
  • Die erns van die voorval.

Wanneer hulle met privaatheidsinligtingsekuriteitsgebeure te doen het, moet personeel:

  1. Evalueer gebeure in ooreenstemming met 'n streng kriteria wat dit bekragtig as 'n goedgekeurde insidente.
  2. Kategoriseer privaatheidsinligtingsekuriteitsgebeure in 5 sub-onderwerpe:

    • Monitering (sien ISO 27002 Kontroles 8.15 en 8.16).
    • Opsporing (sien ISO 27002 Beheer 8.16).
    • Klassifikasie (sien ISO 27002 Beheer 5.25).
    • Analise.
    • Verslagdoening (sien ISO 27002 Beheer 6.8).

  3. Wanneer privaatheidsinligtingsekuriteitsvoorvalle opgelos word, moet organisasies:

    • Reageer en eskaleer kwessies (sien ISO 27002 Beheer 5.26) in ooreenstemming met die tipe voorval.
    • Aktiveer krisisbestuur en besigheidskontinuïteitsplanne.
    • Beïnvloed 'n bestuurde herstel van 'n voorval wat operasionele en/of finansiële skade versag.
    • Verseker deeglike kommunikasie van voorvalverwante gebeure aan alle relevante personeel.

  4. Neem deel aan samewerkende werk (sien ISO 27002 Kontroles 5.5 en 5.6).
  5. Teken alle insidentbestuurde-gebaseerde aktiwiteite aan.
  6. Wees verantwoordelik vir die hantering van voorvalverwante bewyse (sien ISO 27002 Beheer 5.28).
  7. Onderneem 'n deeglike grondoorsaak-analise om die risiko dat die voorval weer sal plaasvind te verminder, insluitend voorgestelde wysigings aan enige prosesse.

Verslagdoeningsaktiwiteite moet rondom 4 sleutelareas gesentreer word:

  • Aksies wat geneem moet word sodra 'n inligtingsekuriteitsgebeurtenis plaasvind.
  • Insidentvorms wat inligting regdeur 'n voorval aanteken.
  • End-tot-end terugvoerprosesse aan alle relevante personeel.
  • Insident verslae wat detail wat gebeur het sodra 'n voorval opgelos is.

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.13.1.5 (Reaksie op inligtingsekuriteitsinsidente) en EU GDPR Artikels 34 (1) en 34 (2)

Organisasies moet verseker dat privaatheidsinligtingsekuriteitsinsidente hanteer word deur 'n toegewyde tegniese span met die vaardighede en hulpbronne om 'n vinnige oplossing te beïnvloed (sien ISO 27002 Beheer 5.24).

Organisasies moet:

  • bevat enige privaatheidsverwante bedreigings wat uit die oorspronklike kwessie voortspruit.
  • versamel 'n liggaam van bewyse deur die resolusieproses.
  • sluit eskalasie, BUDR-aktiwiteite en kontinuïteitsbeplanning by enige oplossingspogings in (sien ISO 27002 Kontroles 5.29 en 5.30).
  • teken alle insidentverwante aktiwiteite aan.
  • verseker dat personeel op 'n "behoefte om te weet"-basis funksioneer wanneer hulle met privaatheidsinligting-insidente handel.
  • deurlopend bewus te wees van hul verantwoordelikhede teenoor hul kliënte en eksterne organisasies wanneer privaatheidsinligting-insidente en data-oortredings gekommunikeer word.
  • sluit insidente aan 'n rigiede stel oplossingskriteria.
  • forensiese ontleding te onderneem (sien ISO 27002 Beheer 5.28), soos en wanneer nodig.
  • poog om die onderliggende oorsaak van 'n voorval vas te stel sodra dit opgelos is (sien ISO 27002 Beheer 5.27).
  • neem regstellende stappe op enige gepaardgaande prosesse, kontroles, beleide en prosedures, om organisatoriese privaatheidbeskerming te versterk sodra 'n voorval opgelos is.

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

Indeks van gekoppelde EU GDPR-artikels, ISO 27701-klousules en ISO 27002-kontroles

GDPR artikelISO 27701-klousuleISO 27002-kontroles
EU GDPR Artikels 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) en 34 (4) ISO 27701 6.13.1.1 ISO 27002 5.25
ISO 27002 5.26
ISO 27002 5.5
ISO 27002 5.6
ISO 27002 6.8
ISO 27002 8.15
ISO 27002 8.16
EU GDPR artikels 34 (1) en 34 (2) ISO 27701 6.13.1.5 ISO 27002 5.24
ISO 27002 5.27
ISO 27002 5.28
ISO 27002 5.29
ISO 27002 5.30

Hoe ISMS.online help

’n Oortreding van GDPR kan aansienlike boetes tot gevolg hê, wat dit een van die wêreld se strengste privaatheids- en sekuriteitsregulasies maak. Gevolglik impliseer dit dat organisasies persoonlike data tot 'n 'redelike' mate moet beskerm.

Maar hier is die goeie nuus.

Op 'n veilige, altyd-aan-plek maak ISMS.online dit vir jou maklik om direk na GDPR-voldoening te spring en 'n vlak van beskerming te demonstreer wat verder strek as 'redelik'.

Ons maak datakartering 'n eenvoudige taak. Deur jou organisasie se besonderhede by ons voorafopgestelde dinamiese rekords van verwerkingsaktiwiteit-nutsding te voeg, kan jy dit alles maklik opneem en hersien.

As die ergste gebeur, sal jy gereed wees.

Met ons gereedskap kan jy beplan, kommunikeer, dokumenteer en uit elke oortreding leer.

Vind meer uit deur bespreek 'n kort 30 minute demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Roosterleier - Lente 2025
Momentumleier - Lente 2025
Streeksleier - Lente 2025 VK
Streeksleier - Lente 2025 EU
Beste Est. ROI Enterprise - Lente 2025
Waarskynlik onderneming aanbeveel - lente 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!