Hoe om voldoening aan GDPR Artikel 34 te demonstreer

Kommunikasie van 'n Persoonlike Data-oortreding aan die Datasubjek

Bespreek 'n demo

onderkant,aansig,van,moderne,wolkekrabbers,in,besigheid,distrik,teen,blou

BBP Artikel 34 skets 'n organisasie se verpligting om datasubjekte van 'n data-oortreding in te lig, wat waarskynlik 'n beduidende risiko vir hul regte en vryhede as individue tot gevolg sal hê.

GDPR Artikel 34 Regstekst

EU GDPR weergawe

Kommunikasie van 'n persoonlike data-oortreding aan die datasubjek

  1. Wanneer die skending van persoonlike data waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, moet die beheerder die skending van persoonlike data sonder onnodige vertraging aan die datasubjek kommunikeer.

  2. Die kommunikasie aan die datasubjek waarna in paragraaf 1 van hierdie Artikel verwys word, sal in duidelike en eenvoudige taal die aard van die persoonlike data-oortreding beskryf en ten minste die inligting en maatreëls bevat waarna verwys word in punte (b), (c) en (d) ) van artikel 33(3).

  3. Die kommunikasie aan die datasubjek waarna in paragraaf 1 verwys word, sal nie vereis word indien aan enige van die volgende voorwaardes voldoen word nie:

    • (a) die beheerder toepaslike tegniese en organisatoriese beskermingsmaatreëls geïmplementeer het, en daardie maatreëls is toegepas op die persoonlike data wat deur die persoonlike data-oortreding geraak word, veral dié wat die persoonlike data onverstaanbaar maak vir enige persoon wat nie gemagtig is om toegang daartoe te verkry nie, soos enkripsie.

    • (b) die beheerder het daaropvolgende maatreëls getref wat verseker dat die hoë risiko vir die regte en vryhede van datasubjekte waarna in paragraaf 1 verwys word, nie meer waarskynlik sal realiseer nie.

    • (c) dit buitensporige moeite sal behels. In so 'n geval sal daar eerder 'n openbare kommunikasie of soortgelyke maatreël wees waardeur die datasubjekte op 'n ewe doeltreffende wyse ingelig word.
  4. As die kontroleerder nie reeds die persoonlike data-skending aan die datasubjek gekommunikeer het nie, kan die toesighoudende owerheid, nadat hy die waarskynlikheid oorweeg het dat die persoonlike data-skending 'n hoë risiko tot gevolg het, dit vereis om dit te doen of kan besluit dat enige van die voorwaardes waarna verwys word. aan in paragraaf 3 voldoen word.

Britse GDPR-weergawe

Kommunikasie van 'n persoonlike data-oortreding aan die datasubjek

  1. Wanneer die skending van persoonlike data waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, moet die beheerder die skending van persoonlike data sonder onnodige vertraging aan die datasubjek kommunikeer.

  2. Die kommunikasie aan die datasubjek waarna in paragraaf 1 van hierdie Artikel verwys word, sal in duidelike en eenvoudige taal die aard van die persoonlike data-oortreding beskryf en ten minste die inligting en maatreëls bevat waarna verwys word in punte (b), (c) en (d) ) van artikel 33(3).

  3. Die kommunikasie aan die datasubjek waarna in paragraaf 1 verwys word, sal nie vereis word indien aan enige van die volgende voorwaardes voldoen word nie:

    • (a) die beheerder toepaslike tegniese en organisatoriese beskermingsmaatreëls geïmplementeer het, en daardie maatreëls is toegepas op die persoonlike data wat deur die persoonlike data-oortreding geraak word, veral dié wat die persoonlike data onverstaanbaar maak vir enige persoon wat nie gemagtig is om toegang daartoe te verkry nie, soos enkripsie.

    • (b) die beheerder het daaropvolgende maatreëls getref wat verseker dat die hoë risiko vir die regte en vryhede van datasubjekte waarna in paragraaf 1 verwys word, nie meer waarskynlik sal realiseer nie.

    • (c) dit buitensporige moeite sal behels. In so 'n geval sal daar eerder 'n openbare kommunikasie of soortgelyke maatreël wees waardeur die datasubjekte op 'n ewe doeltreffende wyse ingelig word.

  4. Indien die kontroleerder nie reeds die persoonlike data-skending aan die datasubjek gekommunikeer het nie, kan die Kommissaris, nadat hy die waarskynlikheid oorweeg het dat die persoonlike data-skending 'n hoë risiko tot gevolg het, dit vereis om dit te doen of kan besluit dat enige van die voorwaardes waarna verwys word. in paragraaf 3 voldoen word.
Spring na Onderwerp

Tegniese Kommentaar

GDPR Artikel 34 maak dit duidelik dat nie alle oortredings aan datasubjekte gekommunikeer moet word nie. Organisasies moet egter die besonderhede van 'n oortreding kommunikeer wanneer dit waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê.

Artikel 34 skets drie hoofareas om op te fokus wanneer 'n data-oortreding gekommunikeer word:

  • Die taal wat gebruik word.

  • Die spesifieke besonderhede wat gekommunikeer word.

  • Hoe die kommunikasie uitgevoer word.

Beheerders is nie verplig om 'n oortreding te kommunikeer onder die volgende drie scenario's nie:

  1. Die organisasie het 'toepaslike tegniese en organisatoriese beskermingsmaatreëls' in plek.

  2. Dit neem 'volgende maatreëls' om die oortreding te versag.

  3. Om die oortreding te kommunikeer, sal 'n buitensporige poging verg.

ISO 27701 Klousule 6.13.1.1 (Verantwoordelikhede en Prosedures) en GDPR Artikel 34

In hierdie afdeling praat ons oor GDPR Artikels 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34(4)

Om 'n samehangende, hoogs funksionerende voorvalbestuurbeleid te skep wat die beskikbaarheid en integriteit van privaatheidsinligting tydens kritieke voorvalle beskerm, moet organisasies:

  1. Volg 'n metode om privaatheidsinligtingsekuriteitsgebeure aan te meld.

  2. Vestig 'n reeks prosesse wat privaatheidinligtingsekuriteitverwante voorvalle regoor die besigheid bestuur, insluitend:

    • Administrasie.

    • Dokumentasie.

    • Opsporing.

    • Triage.

    • Prioritering.

    • Analise.

    • Kommunikasie.
  3. Stel 'n insidentreaksieprosedure op wat die organisasie in staat stel om voorvalle te assesseer, daarop te reageer en daaruit te leer.

  4. Verseker dat voorvalle bestuur word deur opgeleide en bekwame personeel wat voordeel trek uit deurlopende werkplekopleiding en sertifiseringsprogramme.

Personeel wat betrokke is by privaatheidsinligtingsekuriteitvoorvalle moet verstaan:

  1. Die tyd wat dit moet neem om 'n voorval op te los.

  2. Enige moontlike gevolge.

  3. Die erns van die voorval.

Wanneer hulle met privaatheidsinligtingsekuriteitsgebeure te doen het, moet personeel:

  1. Evalueer gebeure in ooreenstemming met 'n streng kriteria wat dit bekragtig as 'n goedgekeurde insidente.

  2. Kategoriseer privaatheidsinligtingsekuriteitsgebeure in 5 sub-onderwerpe:

    • Monitering (sien ISO 27002 Kontroles 8.15 en 8.16).

    • Opsporing (sien ISO 27002 Beheer 8.16).

    • Klassifikasie (sien ISO 27002 Beheer 5.25).

    • Analise.

    • Verslagdoening (sien ISO 27002 Beheer 6.8).
  3. Wanneer privaatheidsinligtingsekuriteitsvoorvalle opgelos word, moet organisasies:

    • Reageer en eskaleer kwessies (sien ISO 27002 Beheer 5.26) in ooreenstemming met die tipe voorval.

    • Aktiveer krisisbestuur en besigheidskontinuïteitsplanne.

    • Beïnvloed 'n bestuurde herstel van 'n voorval wat operasionele en/of finansiële skade versag.

    • Verseker deeglike kommunikasie van voorvalverwante gebeure aan alle relevante personeel.
  4. Neem deel aan samewerkende werk (sien ISO 27002 Kontroles 5.5 en 5.6).

  5. Teken alle insidentbestuurde-gebaseerde aktiwiteite aan.

  6. Wees verantwoordelik vir die hantering van voorvalverwante bewyse (sien ISO 27002 Beheer 5.28).

  7. Onderneem 'n deeglike grondoorsaak-analise om die risiko dat die voorval weer sal plaasvind te verminder, insluitend voorgestelde wysigings aan enige prosesse.

Verslagdoeningsaktiwiteite moet rondom 4 sleutelareas gesentreer word:

  1. Aksies wat geneem moet word sodra 'n inligtingsekuriteitsgebeurtenis plaasvind.

  2. Insidentvorms wat inligting regdeur 'n voorval aanteken.

  3. End-tot-end terugvoerprosesse aan alle relevante personeel.

  4. Insident verslae wat detail wat gebeur het sodra 'n voorval opgelos is.

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISO 27701 Klousule 6.13.1.5 (Reaksie op inligtingsekuriteitsinsidente) en GDPR Artikel 34

In hierdie afdeling praat ons oor GDPR Artikels 34 (2) en 34 (1)

Organisasies moet verseker dat privaatheidsinligtingsekuriteitsinsidente hanteer word deur 'n toegewyde tegniese span met die vaardighede en hulpbronne om 'n vinnige oplossing te beïnvloed (sien ISO 27002 Beheer 5.24).

Organisasies moet:

  1. Bevat enige privaatheidverwante bedreigings wat voortspruit uit die oorspronklike kwessie.

  2. Versamel 'n versameling bewyse regdeur die resolusieproses.

  3. Sluit eskalasie, BUDR-aktiwiteite en kontinuïteitsbeplanning by enige oplossingspogings in (sien ISO 27002 Kontroles 5.29 en 5.30).

  4. Teken alle insidentverwante aktiwiteite aan.

  5. Verseker dat personeel op 'n "behoefte om te weet"-basis funksioneer wanneer hulle met privaatheidsinligting-insidente handel.

  6. Wees voortdurend bewus van hul verantwoordelikhede teenoor hul kliënte en eksterne organisasies wanneer privaatheidsinligting-insidente en data-oortredings gekommunikeer word.

  7. Sluit insidente aan 'n rigiede stel oplossingskriteria.

  8. Onderneem forensiese ontleding (sien ISO 27002 Beheer 5.28), soos en wanneer nodig.

  9. Probeer om die onderliggende oorsaak van 'n voorval vas te stel sodra dit opgelos is (sien ISO 27002 Beheer 5.27).

  10. Neem regstellende stappe op enige gepaardgaande prosesse, kontroles, beleide en prosedures, om organisatoriese privaatheidbeskerming te versterk sodra 'n voorval opgelos is.

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Ondersteun ISO 27701-klousules en ISO 27002-kontroles

GDPR artikelISO 27701-klousuleISO 27002-kontroles
EU GDPR artikels 34 (1) tot 34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
EU GDPR artikels 34 (2) en 34 (1)ISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Hoe ISMS.online Help

As gevolg van ingeboude leiding en ons 'aanvaar, pas aan, voeg by'-implementeringsbenadering, maak ISMS.online die demonstrasie van GDPR-nakoming 'n briesie. 'n Reeks kragtige tydbesparende kenmerke sal ook vir jou beskikbaar wees.

Met ons intuïtiewe platform kan jy veelvuldige inligtingsekuriteit- en privaatheidsdoelwitte bereik deur jou werk oor verskeie standaarde en raamwerke te karteer.

As jy hulp of raad nodig het tydens jou reis na GDPR, kan ons ons span interne kundiges beskikbaar stel of 'n betroubare vennoot aanbeveel wat kan help.

Vind meer uit deur bespreek 'n demo.

Ek het ISO 27001 op die harde manier gedoen, so ek waardeer regtig hoeveel tyd dit ons gespaar het om ISO 27001-sertifisering te behaal.

Carl Vaughan
Infosec hoof, MetCloud

Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind