GDPR Artikel 34 schetst de verplichting van een organisatie om betrokkenen te informeren over een datalek, dat waarschijnlijk zal resulteren in een aanzienlijk risico voor hun rechten en vrijheden als individu.
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
- Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.
- De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.
- De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:
- (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.
- b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.
- c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.
- Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden aan lid 3 is voldaan.
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
- Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.
- De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.
- De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:
- (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.
- b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.
- c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.
- Als de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de commissaris, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden in lid 3 is voldaan.
Vraag een offerte aan
Artikel 34 AVG maakt duidelijk dat niet alle inbreuken aan de betrokkenen moeten worden meegedeeld. Organisaties moeten echter de details van een inbreuk communiceren wanneer deze waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen.
Artikel 34 schetst drie belangrijke aandachtsgebieden bij het communiceren van een datalek:
In de volgende drie scenario's zijn verwerkingsverantwoordelijken niet verplicht een inbreuk te melden:
In deze sectie praten we over AVG-artikelen 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34(4)
Om een samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:
Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:
Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:
Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
In deze sectie praten we over AVG-artikelen 34 (2) en 34 (1)
Organisaties moeten ervoor zorgen dat privacy-informatiebeveiligingsincidenten worden afgehandeld door een toegewijd technisch team met de vaardigheden en middelen om tot een snelle oplossing te komen (zie ISO 27002 Controle 5.24).
Organisaties moeten:
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikelen 34 (1) tot 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU AVG Artikelen 34 (2) en 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Dankzij de ingebouwde begeleiding en onze 'Adopt, Adapt, Add'-implementatieaanpak maakt ISMS.online het aantonen van GDPR-compliance een fluitje van een cent. Er zal ook een reeks krachtige tijdbesparende functies voor u beschikbaar zijn.
Met ons intuïtieve platform kunt u meerdere doelstellingen op het gebied van informatiebeveiliging en privacy bereiken door uw werk in meerdere standaarden en raamwerken in kaart te brengen.
Als u hulp of advies nodig heeft tijdens uw reis naar de AVG, kunnen we ons team van interne experts beschikbaar stellen of een vertrouwde partner aanbevelen die u kan helpen.
Meer informatie via een demo boeken.
Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.