Wat is GDPR Artikel 33? Een snel overzicht van de nalevingsvereisten
GDPR Artikel 33 gaat over de verplichting van een organisatie om de relevante wet- of regelgevende instantie op de hoogte te stellen wanneer de rechten en vrijheden van een individu in gevaar zijn gebracht als gevolg van hun handelingen (of de handelingen van een samenwerkende derde partij) als gegevensbeheerder.
AVG Artikel 33 Wettelijke tekst
EU AVG-versie
Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
- In het geval van een inbreuk in verband met persoonsgegevens stelt de verwerkingsverantwoordelijke zonder onnodige vertraging en, indien mogelijk, niet later dan 72 uur nadat hij er kennis van heeft gekregen, de inbreuk in verband met persoonsgegevens in kennis van de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de kennisgeving aan de toezichthoudende autoriteit niet binnen 72 uur wordt gedaan, gaat deze vergezeld van redenen voor de vertraging.
- De verwerker zal de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van een inbreuk in verband met persoonsgegevens.
- De in lid 1 bedoelde kennisgeving bevat ten minste:
- Beschrijf de aard van de inbreuk in verband met persoonsgegevens, inclusief waar mogelijk de betrokken categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal betrokken persoonsgegevensrecords;
- Geef de naam en contactgegevens door van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- Beschrijf de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- Beschrijf de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld zal worden te nemen om de inbreuk in verband met persoonsgegevens aan te pakken, inclusief, indien van toepassing, maatregelen om de mogelijke negatieve gevolgen ervan te beperken.
- Indien en voor zover het niet mogelijk is de informatie tegelijkertijd te verstrekken, kan de informatie zonder onnodig verder uitstel gefaseerd worden verstrekt.
- De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, inclusief de feiten met betrekking tot de inbreuk in verband met persoonsgegevens, de gevolgen ervan en de genomen herstelmaatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te verifiëren.
Britse AVG-versie
Melding van een inbreuk in verband met persoonsgegevens aan de Commissaris
- In het geval van een inbreuk in verband met persoonsgegevens stelt de verwerkingsverantwoordelijke zonder onnodige vertraging en, waar mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, de inbreuk in verband met persoonsgegevens aan de commissaris in kennis, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens zal plaatsvinden. resulteren in een risico voor de rechten en vrijheden van natuurlijke personen. Indien de kennisgeving uit hoofde van dit lid niet binnen 72 uur wordt gedaan, gaat deze vergezeld van de redenen voor de vertraging.
- De verwerker zal de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen nadat hij zich bewust is geworden van een inbreuk in verband met persoonsgegevens.
- De in lid 1 bedoelde kennisgeving bevat ten minste:
- Beschrijf de aard van de inbreuk in verband met persoonsgegevens, inclusief waar mogelijk de betrokken categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal betrokken persoonsgegevensrecords;
- Geef de naam en contactgegevens door van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- Beschrijf de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- Beschrijf de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld zal worden te nemen om de inbreuk in verband met persoonsgegevens aan te pakken, inclusief, indien van toepassing, maatregelen om de mogelijke negatieve gevolgen ervan te beperken.
- Indien en voor zover het niet mogelijk is de informatie tegelijkertijd te verstrekken, kan de informatie zonder onnodig verder uitstel gefaseerd worden verstrekt.
- De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, inclusief de feiten met betrekking tot de inbreuk in verband met persoonsgegevens, de gevolgen ervan en de genomen herstelmaatregelen. Deze documentatie stelt de commissaris in staat de naleving van dit artikel te verifiëren.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Technisch commentaar
Naast het grondig documenteren van alle gebeurtenissen rond een inbreuk, moeten organisaties ook nadenken zes bepalende factoren bij het handelen naar aanleiding van een datalek:
- De definitie van een inbreuk – 'een inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt'.
- Het acuut op de hoogte houden van een inbreuk en het verkrijgen van een 'redelijke mate van toezicht' wanneer een vermoedelijke inbreuk heeft plaatsgevonden.
- Zich bewust zijn van de risico's voor de individuele vrijheden die een datalek kan veroorzaken, en hoe waarschijnlijk deze risico's zich voordoen.
- De ernst van het risico, inclusief.
- De risicocategorie.
- De hoeveelheid getroffen gegevens en de omvang van de inbreuk.
- Hoe ze eventuele getroffen personen kunnen identificeren.
- Hoe ernstig de inbreuk is in termen van tastbare gevolgen voor alle personen die erdoor worden getroffen (en hoe kwetsbaar zij zijn).
- De aard van de activiteiten van de organisatie en of dit een hoger risico met zich meebrengt (bijvoorbeeld financiële gegevens).
- Waar mogelijk, de noodzaak om bestuursautoriteiten op de hoogte te stellen binnen 72 uur.
- De noodzaak om een geldige reden op te geven om contact op te nemen met de autoriteiten nadat 72 uur zijn verstreken, als dit gebeurt.
Bij het informeren van de toezichthoudende autoriteit moeten organisaties:
- Beschrijf de aard van de inbreuk.
- Wijs een aanspreekpunt aan.
- Geef een overzicht van de waarschijnlijkheid van eventuele gevolgen.
- Beschrijf alle acties die zijn ondernomen als reactie op de inbreuk.
- Geef alle aanvullende details op die relevant zijn voor de inbreuk.
ISO 27701 Clausule 6.13.1.1 (Verantwoordelijkheden en procedures) en EU AVG Artikelen 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34 (4)
Om een samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:
- Houd u aan een methode voor het melden van beveiligingsgebeurtenissen op het gebied van privacyinformatie.
- Zet een reeks processen op die privacy-informatiebeveiligingsgerelateerde incidenten in het hele bedrijf beheren, waaronder:
- Administratie.
- Documentatie.
- Detectie.
- Triage.
- Prioritering.
- Analyse.
- Communicatie.
- Stel een incidentresponsprocedure op waarmee de organisatie incidenten kan beoordelen, erop kan reageren en ervan kan leren.
- Zorg ervoor dat incidenten worden beheerd door opgeleid en bekwaam personeel dat profiteert van doorlopende training- en certificeringsprogramma's op de werkplek
Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:
- De tijd die nodig is om een incident op te lossen.
- Eventuele gevolgen.
- De ernst van het incident.
Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:
- Beoordeel evenementen in overeenstemming met strikte criteria die ze valideren als goedgekeurde incidenten.
- Categoriseer privacy-informatiebeveiligingsgebeurtenissen in 5 subonderwerpen:
- Toezicht (zie ISO 27002 Controles 8.15 en 8.16).
- Detectie (zie ISO 27002 Controle 8.16).
- Classificatie (zie ISO 27002 Controle 5.25).
- Analyse.
- Rapportage (zie ISO 27002 Controle 6.8).
- Bij het oplossen van privacy-informatiebeveiligingsincidenten moeten organisaties:
- Reageer en escaleer problemen (zie ISO 27002 Controle 5.26) in overeenstemming met het type incident.
- Activeer plannen voor crisisbeheer en bedrijfscontinuïteit.
- Beïnvloed een beheerd herstel na een incident dat de operationele en/of financiële schade beperkt.
- Zorg voor een grondige communicatie van incidentgerelateerde gebeurtenissen naar al het relevante personeel.
- Neem deel aan samenwerking (zie ISO 27002 Controles 5.5 en 5.6).
- Registreer alle op incidenten beheerde activiteiten.
- Verantwoordelijk zijn voor de omgang met incidentgerelateerd bewijsmateriaal (zie ISO 27002 Controle 5.28).
- Voer een grondige analyse van de hoofdoorzaak uit om het risico te minimaliseren dat het incident zich opnieuw voordoet, inclusief voorgestelde wijzigingen in eventuele processen.
Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:
- Acties die moeten worden ondernomen zodra zich een informatiebeveiligingsgebeurtenis voordoet.
- Incidentformulieren waarin informatie gedurende een incident wordt vastgelegd.
- End-to-end feedbackprocessen voor al het relevante personeel.
- Incidentrapporten waarin gedetailleerd wordt beschreven wat er is gebeurd nadat een incident is opgelost.
Ondersteuning van ISO 27002-controles
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.13.1.5 (Reactie op informatiebeveiligingsincidenten) en EU AVG Artikelen 34 (1) en 34 (2)
Organisaties moeten ervoor zorgen dat privacy-informatiebeveiligingsincidenten worden afgehandeld door een toegewijd technisch team met de vaardigheden en middelen om tot een snelle oplossing te komen (zie ISO 27002 Controle 5.24).
Organisaties moeten:
- eventuele privacygerelateerde bedreigingen bevatten die voortkomen uit het oorspronkelijke probleem.
- gedurende het gehele afwikkelingsproces een hoeveelheid bewijsmateriaal verzamelen.
- neem escalatie, BUDR-activiteiten en continuïteitsplanning op in alle oplossingsinspanningen (zie ISO 27002 Controles 5.29 en 5.30).
- registreer alle incidentgerelateerde activiteiten.
- ervoor te zorgen dat het personeel op een ‘need to know’-basis te werk gaat bij het omgaan met incidenten met privacy-informatie.
- zich voortdurend bewust zijn van hun verantwoordelijkheden jegens hun klanten en externe organisaties bij het communiceren van incidenten met privacy-informatie en datalekken.
- sluit incidenten af volgens een rigide reeks oplossingscriteria.
- forensische analyses uitvoeren (zie ISO 27002 Controle 5.28), waar en wanneer dat nodig is.
- proberen de onderliggende oorzaak van een incident vast te stellen, zodra het is opgelost (zie ISO 27002 Controle 5.27).
- corrigerende maatregelen nemen voor alle bijbehorende processen, controles, beleid en procedures, om de privacybescherming van de organisatie te versterken zodra een incident is opgelost.
Ondersteuning van ISO 27002-controles
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
Index van gekoppelde EU AVG-artikelen, ISO 27701-clausules en ISO 27002-controles
| AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
|---|---|---|
| EU AVG Artikelen 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34 (4) | ISO 27701 6.13.1.1 |
ISO 27002 5.25 ISO 27002 5.26 ISO 27002 5.5 ISO 27002 5.6 ISO 27002 6.8 ISO 27002 8.15 ISO 27002 8.16 |
| EU AVG Artikelen 34 (1) en 34 (2) | ISO 27701 6.13.1.5 |
ISO 27002 5.24 ISO 27002 5.27 ISO 27002 5.28 ISO 27002 5.29 ISO 27002 5.30 |
Hoe ISMS.online helpt
Een inbreuk op de AVG kan resulteren in aanzienlijke boetes, waardoor het een van de strengste privacy- en veiligheidsregels ter wereld is. Het impliceert daarmee dat organisaties persoonsgegevens in ‘redelijke’ mate moeten beschermen.
Maar hier is het goede nieuws.
Op een veilige, altijd beschikbare locatie maakt ISMS.online het u gemakkelijk om direct aan de AVG te voldoen en een beschermingsniveau aan te tonen dat verder gaat dan 'redelijk'.
Wij maken data mapping tot een eenvoudige taak. Door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten, kunt u alles eenvoudig vastleggen en bekijken.
Als het ergste gebeurt, ben je er klaar voor.
Met onze tools kunt u elke inbreuk plannen, communiceren, documenteren en ervan leren.
Meer informatie via het boeken van een korte demo van 30 minuten.
