Hur man visar efterlevnad av GDPR artikel 34

Kommunikation av ett personuppgiftsintrång till den registrerade

Boka en demo

botten,vy,av,moderna,skyskrapor,i,affärer,distrikt,mot,blått

GDPR Artikel 34 beskriver en organisations skyldighet att informera registrerade om ett dataintrång, vilket sannolikt kommer att leda till en betydande risk för deras rättigheter och friheter som individer.

GDPR Artikel 34 Lagtext

EU GDPR-version

Kommunikation av ett personuppgiftsintrång till den registrerade

  1. När personuppgiftsintrånget sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, ska den registeransvarige utan onödigt dröjsmål meddela personuppgiftsintrånget till den registrerade.

  2. Meddelandet till den registrerade som avses i punkt 1 i denna artikel ska på ett klart och tydligt språk beskriva karaktären av personuppgiftsintrånget och innehålla åtminstone den information och de åtgärder som avses i punkterna b, c och d. ) i artikel 33.

  3. Den kommunikation till den registrerade som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt:

    • a) den personuppgiftsansvarige har vidtagit lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de personuppgifter som berörs av personuppgiftsintrånget, särskilt sådana som gör personuppgifterna oförståeliga för någon person som inte har behörighet att komma åt dem, som kryptering.

    • b) den registeransvarige har vidtagit efterföljande åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter som avses i punkt 1 inte längre sannolikt kommer att förverkligas.

    • c) Det skulle innebära oproportionerligt stora ansträngningar. I sådant fall ska det istället finnas en offentlig kommunikation eller liknande åtgärd varigenom de registrerade informeras på ett lika effektivt sätt.
  4. Om den personuppgiftsansvarige inte redan har meddelat den registrerade personuppgiftsintrånget kan tillsynsmyndigheten, efter att ha övervägt sannolikheten för att personuppgiftsintrånget skulle leda till en hög risk, kräva att den gör det eller besluta att något av de villkor som avses till i punkt 3 är uppfyllda.

Storbritanniens GDPR-version

Kommunikation av ett personuppgiftsintrång till den registrerade

  1. När personuppgiftsintrånget sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter, ska den registeransvarige utan onödigt dröjsmål meddela personuppgiftsintrånget till den registrerade.

  2. Meddelandet till den registrerade som avses i punkt 1 i denna artikel ska på ett klart och tydligt språk beskriva karaktären av personuppgiftsintrånget och innehålla åtminstone den information och de åtgärder som avses i punkterna b, c och d. ) i artikel 33.

  3. Den kommunikation till den registrerade som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt:

    • a) den personuppgiftsansvarige har vidtagit lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de personuppgifter som berörs av personuppgiftsintrånget, särskilt sådana som gör personuppgifterna oförståeliga för någon person som inte har behörighet att komma åt dem, som kryptering.

    • b) den registeransvarige har vidtagit efterföljande åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter som avses i punkt 1 inte längre sannolikt kommer att förverkligas.

    • c) Det skulle innebära oproportionerligt stora ansträngningar. I sådant fall ska det istället finnas en offentlig kommunikation eller liknande åtgärd varigenom de registrerade informeras på ett lika effektivt sätt.

  4. Om den personuppgiftsansvarige inte redan har meddelat den registrerade personuppgiftsintrånget kan kommissionären, efter att ha övervägt sannolikheten för att personuppgiftsintrånget skulle resultera i en hög risk, kräva att denne gör det eller besluta att något av de villkor som hänvisas till i punkt 3 är uppfyllda.
Hoppa till ämne

Teknisk kommentar

GDPR Artikel 34 gör det klart att inte alla överträdelser måste meddelas registrerade. Organisationer bör dock meddela detaljerna om ett överträdelse när det sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter.

I artikel 34 beskrivs tre huvudområden att fokusera på när ett dataintrång kommuniceras:

  • Språket som används.

  • De specifika detaljerna som kommuniceras.

  • Hur kommunikationen går till.

Kontrollanter är inte skyldiga att meddela ett intrång under följande tre scenarier:

  1. Organisationen har "lämpliga tekniska och organisatoriska skyddsåtgärder" på plats.

  2. Den vidtar "efterföljande åtgärder" för att mildra överträdelsen.

  3. Att kommunicera överträdelsen skulle kräva en oproportionerlig ansträngning.

ISO 27701 klausul 6.13.1.1 (Ansvar och förfaranden) och GDPR artikel 34

I det här avsnittet talar vi om GDPR artiklarna 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) och 34 (4)

För att skapa en sammanhållen, välfungerande incidenthanteringspolicy som säkerställer tillgängligheten och integriteten för integritetsinformation under kritiska incidenter, bör organisationer:

  1. Följ en metod för att rapportera säkerhetshändelser för sekretessinformation.

  2. Etablera en serie processer som hanterar integritetsinformationssäkerhetsrelaterade incidenter i hela verksamheten, inklusive:

    • Administrering.

    • Dokumentation.

    • Upptäckt.

    • Triage.

    • Prioritering.

    • Analys.

    • Kommunikation.
  3. Utarbeta en incidentresponsprocedur som gör det möjligt för organisationen att bedöma, reagera på och lära av incidenter.

  4. Se till att incidenter hanteras av utbildad och kompetent personal som drar nytta av pågående arbetsplatsutbildning och certifieringsprogram.

Personal som är involverad i incidenter med integritetsinformationssäkerhet bör förstå:

  1. Tiden det borde ta att lösa en incident.

  2. Eventuella konsekvenser.

  3. Händelsens svårighetsgrad.

När personalen hanterar säkerhetshändelser för integritetsinformation bör personalen:

  1. Bedöm händelser i enlighet med strikta kriterier som validerar dem som godkända incidenter.

  2. Kategorisera sekretessinformationssäkerhetshändelser i 5 underämnen:

    • Övervakning (se ISO 27002 Kontrollerna 8.15 och 8.16).

    • Detektering (se ISO 27002 Kontroll 8.16).

    • Klassificering (se ISO 27002 Kontroll 5.25).

    • Analys.

    • Rapportering (se ISO 27002 Kontroll 6.8).
  3. När organisationer löser incidenter med integritetsinformationssäkerhet bör de:

    • Reagera och eskalera frågor (se ISO 27002 Kontroll 5.26) i enlighet med typen av incident.

    • Aktivera krishantering och affärskontinuitetsplaner.

    • Påverka en hanterad återhämtning från en incident som mildrar operativa och/eller ekonomiska skador.

    • Säkerställ en noggrann kommunikation av incidentrelaterade händelser till all relevant personal.
  4. Delta i samarbete (se ISO 27002 kontroller 5.5 och 5.6).

  5. Logga alla incidenthanterade aktiviteter.

  6. Vara ansvarig för hanteringen av incidentrelaterad bevismaterial (se ISO 27002 Kontroll 5.28).

  7. Genomför en grundlig orsaksanalys för att minimera risken för att incidenten ska hända igen, inklusive föreslagna ändringar av eventuella processer.

Rapporteringsaktiviteter bör centreras kring fyra nyckelområden:

  1. Åtgärder som måste vidtas när en informationssäkerhetshändelse inträffar.

  2. Incidentformulär som registrerar information under en incident.

  3. End-to-end återkopplingsprocesser till all relevant personal.

  4. Incidentrapporter som beskriver vad som har inträffat när en incident har lösts.

Stöder ISO 27002 kontroller

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISO 27701 klausul 6.13.1.5 (Response to Information Security Incidents) och GDPR Artikel 34

I det här avsnittet talar vi om GDPR-artiklarna 34 (2) och 34 (1)

Organisationer bör se till att incidenter med integritetsinformationssäkerhet hanteras av ett dedikerat tekniskt team med kompetens och resurser för att påverka en snabb lösning (se ISO 27002 Kontroll 5.24).

Organisationer bör:

  1. Innehåller alla integritetsrelaterade hot som härrör från det ursprungliga problemet.

  2. Samla in en mängd bevis under hela lösningsprocessen.

  3. Inkludera eskalering, BUDR-aktiviteter och kontinuitetsplanering i alla resolutionsförsök (se ISO 27002 kontroller 5.29 och 5.30).

  4. Logga all incidentrelaterad aktivitet.

  5. Se till att personalen arbetar utifrån "need to know"-basis när de hanterar incidenter med integritetsinformation.

  6. Var ständigt uppmärksam på deras ansvar gentemot sina kunder och externa organisationer när du kommunicerar incidenter med integritetsinformation och dataintrång.

  7. Nära incidenter till en stel uppsättning lösningskriterier.

  8. Genomför kriminalteknisk analys (se ISO 27002 Kontroll 5.28), vid behov.

  9. Försök att fastställa den bakomliggande orsaken till en incident, när den väl har lösts (se ISO 27002 Kontroll 5.27).

  10. Vidta korrigerande åtgärder på alla associerade processer, kontroller, policyer och procedurer för att stärka organisationens integritetsskydd när en incident har lösts.

Stöder ISO 27002 kontroller

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Stöder ISO 27701-klausuler och ISO 27002-kontroller

GDPR-artikelISO 27701 klausulISO 27002 kontroller
EU GDPR artiklarna 34 (1) till 34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
EU GDPR artiklarna 34 (2) och 34 (1)ISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Hur ISMS.online Hjälp

Tack vare inbyggd vägledning och vår implementeringsmetod "Adoptera, anpassa, lägg till" gör ISMS.online att demonstrera GDPR-efterlevnad till en lek. En rad kraftfulla tidsbesparande funktioner kommer också att vara tillgängliga för dig.

Med vår intuitiva plattform kan du uppnå flera informationssäkerhets- och integritetsmål genom att kartlägga ditt arbete över flera standarder och ramverk.

Om du behöver hjälp eller råd under din resa mot GDPR kan vi göra vårt team av interna experter tillgängliga eller rekommendera en pålitlig partner som kan hjälpa till.

Ta reda på mer av boka en demo.

Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.

Carl Vaughan
Infosec Lead, MetCloud

Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer