So weisen Sie die Einhaltung von Artikel 33 der DSGVO nach

Technischer Kommentar

Unternehmen müssen nicht nur alle Ereignisse im Zusammenhang mit einem Verstoß gründlich dokumentieren, sondern auch Überlegungen anstellen sechs maßgebende Faktoren bei der Reaktion auf eine Datenschutzverletzung:

1. Die Definition eines Verstoßes – „ein Verstoß gegen die Sicherheit, der zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt“.
2. Das Bewusstsein für einen Verstoß aufrechterhalten und ein „angemessenes Maß an Kontrolle“ erreichen, wenn ein mutmaßlicher Verstoß vorliegt.
3. Sich der Risiken bewusst sein, die eine Datenschutzverletzung für die individuellen Freiheiten mit sich bringen kann, und wissen, wie wahrscheinlich diese Risiken sind.
4. Die Schwere des Risikos, einschließlich.
• Die Risikokategorie.
• Die Menge der betroffenen Daten und das Ausmaß des Verstoßes.
• Wie sie betroffene Personen identifizieren können.
• Wie schwerwiegend der Verstoß im Hinblick auf konkrete Folgen für alle davon betroffenen Personen ist (und wie gefährdet diese sind).
• Die Art der Geschäftstätigkeit der Organisation und ob diese ein höheres Risiko darstellt (z. B. Finanzdaten).
5. Wo möglich, die Notwendigkeit, alle zuständigen Behörden zu benachrichtigen innerhalb 72 Stunden.
6. Die Notwendigkeit, einen triftigen Grund für die Kontaktaufnahme mit den Behörden anzugeben nach Ablauf von 72 Stunden, falls dies auftritt.

Bei der Benachrichtigung der Aufsichtsbehörde müssen Organisationen Folgendes tun:

• Beschreiben Sie die Art des Verstoßes.
• Benennen Sie einen Ansprechpartner.
• Beschreiben Sie die Wahrscheinlichkeit etwaiger Konsequenzen.
• Beschreiben Sie alle Maßnahmen, die als Reaktion auf den Verstoß ergriffen wurden.
• Geben Sie alle zusätzlichen Details an, die für den Verstoß relevant sind.

ISO 27701 Klausel 6.13.1.1 (Verantwortlichkeiten und Verfahren) und EU-DSGVO Artikel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) und 34 (4)

Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:

1. Halten Sie sich an eine Methode zum Melden von Ereignissen im Bereich Datenschutz und Informationssicherheit.
2. Richten Sie eine Reihe von Prozessen ein, die Vorfälle im Zusammenhang mit der Sicherheit von Datenschutzinformationen im gesamten Unternehmen verwalten, darunter:
• Verwaltung.
• Dokumentation.
• Erkennung.
• Triage.
• Priorisierung.
• Analysis.
• Kommunikation.
3. Entwerfen Sie ein Verfahren zur Reaktion auf Vorfälle, das es der Organisation ermöglicht, Vorfälle zu bewerten, darauf zu reagieren und daraus zu lernen.
4. Stellen Sie sicher, dass Vorfälle von geschultem und kompetentem Personal gehandhabt werden, das von fortlaufenden Schulungs- und Zertifizierungsprogrammen am Arbeitsplatz profitiert

Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:

• Die Zeit, die zur Lösung eines Vorfalls benötigt werden sollte.
• Mögliche Konsequenzen.
• Die Schwere des Vorfalls.

Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:

1. Bewerten Sie Ereignisse nach strengen Kriterien, die sie als genehmigte Vorfälle validieren.
2. Kategorisieren Sie Ereignisse zur Sicherheit von Datenschutzinformationen in fünf Unterthemen:
• Überwachung (siehe ISO 27002 Kontrollen 8.15 und 8.16).
• Erkennung (siehe ISO 27002 Control 8.16).
• Klassifizierung (siehe ISO 27002 Control 5.25).
• Analysis.
• Berichterstattung (siehe ISO 27002 Control 6.8).
3. Bei der Lösung von Vorfällen im Bereich Datenschutz und Informationssicherheit sollten Unternehmen Folgendes tun:
• Reagieren und eskalieren Sie Probleme (siehe ISO 27002 Control 5.26) entsprechend der Art des Vorfalls.
• Aktivieren Sie Krisenmanagement- und Geschäftskontinuitätspläne.
• Beeinflussen Sie eine verwaltete Wiederherstellung nach einem Vorfall, die den betrieblichen und/oder finanziellen Schaden mindert.
• Sorgen Sie für eine gründliche Kommunikation vorfallbezogener Ereignisse an alle relevanten Mitarbeiter.
4. Beteiligen Sie sich an kollaborativer Arbeit (siehe ISO 27002-Kontrollen 5.5 und 5.6).
5. Protokollieren Sie alle auf Vorfällen basierenden Aktivitäten.
6. Seien Sie für den Umgang mit vorfallbezogenen Beweisen verantwortlich (siehe ISO 27002 Control 5.28).
7. Führen Sie eine gründliche Ursachenanalyse durch, um das Risiko eines erneuten Auftretens des Vorfalls zu minimieren, einschließlich vorgeschlagener Änderungen an den Prozessen.

Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:

• Maßnahmen, die ergriffen werden müssen, sobald ein Informationssicherheitsereignis auftritt.
• Vorfallformulare, die Informationen während eines Vorfalls aufzeichnen.
• Durchgängige Feedbackprozesse an alle relevanten Mitarbeiter.
• Vorfallberichte, in denen detailliert beschrieben wird, was passiert ist, nachdem ein Vorfall gelöst wurde.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Klausel 6.13.1.5 (Reaktion auf Informationssicherheitsvorfälle) und EU-DSGVO Artikel 34 (1) und 34 (2)

Organisationen sollten sicherstellen, dass Vorfälle im Bereich Datenschutz und Informationssicherheit von einem speziellen technischen Team behandelt werden, das über die Fähigkeiten und Ressourcen verfügt, um eine schnelle Lösung herbeizuführen (siehe ISO 27002 Control 5.24).

Organisationen sollten:

• keine datenschutzbezogenen Bedrohungen enthalten, die sich aus dem ursprünglichen Problem ergeben.
• Sammeln Sie während des gesamten Lösungsprozesses eine Reihe von Beweisen.
• Beziehen Sie Eskalation, BUDR-Aktivitäten und Kontinuitätsplanung in alle Lösungsbemühungen ein (siehe ISO 27002-Kontrollen 5.29 und 5.30).
• Protokollieren Sie alle vorfallbezogenen Aktivitäten.
• Stellen Sie sicher, dass die Mitarbeiter beim Umgang mit Datenschutzvorfällen auf der Grundlage des „Need-to-know“-Prinzips vorgehen.
• Seien Sie sich stets ihrer Verantwortung gegenüber ihren Kunden und externen Organisationen bewusst, wenn Sie Datenschutzvorfälle und Datenschutzverletzungen melden.
• Schließen Sie Vorfälle anhand strenger Lösungskriterien ab.
• Führen Sie bei Bedarf eine forensische Analyse durch (siehe ISO 27002 Control 5.28).
• Versuchen Sie, die zugrunde liegende Ursache eines Vorfalls zu ermitteln, sobald dieser behoben ist (siehe ISO 27002 Control 5.27).
• Ergreifen Sie Abhilfemaßnahmen für alle damit verbundenen Prozesse, Kontrollen, Richtlinien und Verfahren, um den Schutz der Privatsphäre der Organisation zu stärken, sobald ein Vorfall gelöst wurde.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.24
• ISO 27002 5.27
• ISO 27002 5.28
• ISO 27002 5.29
• ISO 27002 5.30

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

Wie ISMS.online hilft

Ein Verstoß gegen die DSGVO kann zu erheblichen Bußgeldern führen, was sie zu einer der strengsten Datenschutz- und Sicherheitsvorschriften der Welt macht. Dies impliziert, dass Organisationen personenbezogene Daten in einem „angemessenen“ Umfang schützen müssen.

Aber hier ist die gute Nachricht.

ISMS.online ist an einem sicheren, ständig verfügbaren Ort und erleichtert Ihnen den direkten Einstieg in die DSGVO-Konformität und den Nachweis eines Schutzniveaus, das über das „angemessene“ hinausgeht.

Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen, können Sie alles ganz einfach aufzeichnen und überprüfen.

Wenn das Schlimmste passiert, sind Sie bereit.

Mit unseren Tools können Sie jeden Verstoß planen, kommunizieren, dokumentieren und daraus lernen.

Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.