Hoe u naleving van AVG kunt aantonen Artikel 34

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

Boek een demo

onderkant,weergave,van,moderne,wolkenkrabbers,in,bedrijf,wijk,tegen,blauw

GDPR Artikel 34 schetst de verplichting van een organisatie om betrokkenen te informeren over een datalek, dat waarschijnlijk zal resulteren in een aanzienlijk risico voor hun rechten en vrijheden als individu.

AVG Artikel 34 Wettelijke tekst

EU AVG-versie

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

  1. Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.

  2. De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.

  3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:

    • (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.

    • b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.

    • c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.
  4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden aan lid 3 is voldaan.

Britse AVG-versie

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

  1. Wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee aan de betrokkene.

  2. De mededeling aan de in lid 1 van dit artikel bedoelde betrokkene beschrijft in duidelijke en eenvoudige taal de aard van de inbreuk in verband met persoonsgegevens en bevat ten minste de informatie en maatregelen bedoeld in de punten b), c) en d ) van artikel 33, lid 3.

  3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist als aan een van de volgende voorwaarden is voldaan:

    • (a) de verantwoordelijke voor de verwerking passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast op de persoonsgegevens die door de inbreuk in verband met persoonsgegevens zijn getroffen, met name de maatregelen die de persoonsgegevens onbegrijpelijk maken voor personen die geen toegang daartoe hebben; zoals encryptie.

    • b) de verwerkingsverantwoordelijke heeft vervolgens maatregelen genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de in lid 1 bedoelde betrokkenen zich waarschijnlijk niet langer zal voordoen.

    • c) het zou onevenredige inspanningen vergen. In een dergelijk geval zal er in plaats daarvan sprake zijn van een openbare communicatie of soortgelijke maatregel waarbij de betrokkenen op een even effectieve manier worden geïnformeerd.

  4. Als de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de commissaris, na de waarschijnlijkheid te hebben overwogen dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, van hem eisen dat hij dit doet of kan hij besluiten dat een van de genoemde voorwaarden in lid 3 is voldaan.
Ga naar onderwerp

Technisch commentaar

Artikel 34 AVG maakt duidelijk dat niet alle inbreuken aan de betrokkenen moeten worden meegedeeld. Organisaties moeten echter de details van een inbreuk communiceren wanneer deze waarschijnlijk zal resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen.

Artikel 34 schetst drie belangrijke aandachtsgebieden bij het communiceren van een datalek:

  • De gebruikte taal.

  • De specifieke details die worden gecommuniceerd.

  • Hoe de communicatie verloopt.

In de volgende drie scenario's zijn verwerkingsverantwoordelijken niet verplicht een inbreuk te melden:

  1. De organisatie beschikt over ‘passende technische en organisatorische beschermingsmaatregelen’.

  2. Er zijn 'vervolgmaatregelen' nodig om de inbreuk te beperken.

  3. Het communiceren van de inbreuk zou een onevenredige inspanning vergen.

ISO 27701 Clausule 6.13.1.1 (Verantwoordelijkheden en procedures) en AVG Artikel 34

In deze sectie praten we over AVG-artikelen 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34(4)

Om een ​​samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:

  1. Houd u aan een methode voor het melden van beveiligingsgebeurtenissen op het gebied van privacyinformatie.

  2. Zet een reeks processen op die privacy-informatiebeveiligingsgerelateerde incidenten in het hele bedrijf beheren, waaronder:

    • Administratie.

    • Documentatie.

    • Detectie.

    • Triage.

    • Prioritering.

    • Analyse.

    • Communicatie.
  3. Stel een incidentresponsprocedure op waarmee de organisatie incidenten kan beoordelen, erop kan reageren en ervan kan leren.

  4. Zorg ervoor dat incidenten worden beheerd door opgeleid en bekwaam personeel dat profiteert van voortdurende training- en certificeringsprogramma's op de werkplek.

Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:

  1. De tijd die nodig is om een ​​incident op te lossen.

  2. Eventuele gevolgen.

  3. De ernst van het incident.

Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:

  1. Beoordeel evenementen in overeenstemming met strikte criteria die ze valideren als goedgekeurde incidenten.

  2. Categoriseer privacy-informatiebeveiligingsgebeurtenissen in 5 subonderwerpen:

    • Toezicht (zie ISO 27002 Controles 8.15 en 8.16).

    • Detectie (zie ISO 27002 Controle 8.16).

    • Classificatie (zie ISO 27002 Controle 5.25).

    • Analyse.

    • Rapportage (zie ISO 27002 Controle 6.8).
  3. Bij het oplossen van privacy-informatiebeveiligingsincidenten moeten organisaties:

    • Reageer en escaleer problemen (zie ISO 27002 Controle 5.26) in overeenstemming met het type incident.

    • Activeer plannen voor crisisbeheer en bedrijfscontinuïteit.

    • Beïnvloed een beheerd herstel na een incident dat de operationele en/of financiële schade beperkt.

    • Zorg voor een grondige communicatie van incidentgerelateerde gebeurtenissen naar al het relevante personeel.
  4. Neem deel aan samenwerking (zie ISO 27002 Controles 5.5 en 5.6).

  5. Registreer alle op incidenten beheerde activiteiten.

  6. Verantwoordelijk zijn voor de omgang met incidentgerelateerd bewijsmateriaal (zie ISO 27002 Controle 5.28).

  7. Voer een grondige analyse van de hoofdoorzaak uit om het risico te minimaliseren dat het incident zich opnieuw voordoet, inclusief voorgestelde wijzigingen in eventuele processen.

Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:

  1. Acties die moeten worden ondernomen zodra zich een informatiebeveiligingsgebeurtenis voordoet.

  2. Incidentformulieren waarin informatie gedurende een incident wordt vastgelegd.

  3. End-to-end feedbackprocessen voor al het relevante personeel.

  4. Incidentrapporten waarin gedetailleerd wordt beschreven wat er is gebeurd nadat een incident is opgelost.

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

ISO 27701 Clausule 6.13.1.5 (Reactie op informatiebeveiligingsincidenten) en AVG Artikel 34

In deze sectie praten we over AVG-artikelen 34 (2) en 34 (1)

Organisaties moeten ervoor zorgen dat privacy-informatiebeveiligingsincidenten worden afgehandeld door een toegewijd technisch team met de vaardigheden en middelen om tot een snelle oplossing te komen (zie ISO 27002 Controle 5.24).

Organisaties moeten:

  1. Bevat alle privacygerelateerde bedreigingen die voortkomen uit het oorspronkelijke probleem.

  2. Verzamel tijdens het hele afwikkelingsproces een hoeveelheid bewijsmateriaal.

  3. Neem escalatie, BUDR-activiteiten en continuïteitsplanning op in alle oplossingsinspanningen (zie ISO 27002 Controles 5.29 en 5.30).

  4. Registreer alle incidentgerelateerde activiteiten.

  5. Zorg ervoor dat het personeel op een ‘need to know’-basis te werk gaat bij het omgaan met incidenten met privacy-informatie.

  6. Houd voortdurend rekening met hun verantwoordelijkheden jegens hun klanten en externe organisaties bij het communiceren van incidenten met privacy-informatie en datalekken.

  7. Sluit incidenten af ​​op een strikte reeks oplossingscriteria.

  8. Voer forensische analyses uit (zie ISO 27002 Controle 5.28), waar en wanneer dat nodig is.

  9. Probeer de onderliggende oorzaak van een incident vast te stellen, zodra het is opgelost (zie ISO 27002 Controle 5.27).

  10. Neem corrigerende maatregelen voor alle bijbehorende processen, controles, beleid en procedures, om de privacybescherming van de organisatie te versterken zodra een incident is opgelost.

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

AVG-artikelISO 27701-clausuleISO 27002-controles
EU AVG Artikelen 34 (1) tot 34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
EU AVG Artikelen 34 (2) en 34 (1)ISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Hoe ISMS.online helpt

Dankzij de ingebouwde begeleiding en onze 'Adopt, Adapt, Add'-implementatieaanpak maakt ISMS.online het aantonen van GDPR-compliance een fluitje van een cent. Er zal ook een reeks krachtige tijdbesparende functies voor u beschikbaar zijn.

Met ons intuïtieve platform kunt u meerdere doelstellingen op het gebied van informatiebeveiliging en privacy bereiken door uw werk in meerdere standaarden en raamwerken in kaart te brengen.

Als u hulp of advies nodig heeft tijdens uw reis naar de AVG, kunnen we ons team van interne experts beschikbaar stellen of een vertrouwde partner aanbevelen die u kan helpen.

Meer informatie via een demo boeken.

Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.

Carl Vaughan
Infosec-leider, MetCloud

Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie