毫无疑问,GDPR更具有挑战性的方面之一是要求在发现违规行为72小时内向监管机构报告违规通知(见第33条)。.

在GDPR中,对于“数据泄露”的含义有一个重要的澄清.“个人数据泄露”的处理方式应该与普通的“数据泄露”不同.法律不要求报告“数据泄露”,但在个人数据泄露的情况下, 情况会随着违规行为受到惩罚的风险而变化.

另外, 第34条要求“当个人数据泄露可能对自然人的权利和自由造成高风险时”, 控制人应将个人数据泄露一事及时告知数据主体.”

如果你在跟踪, 这是GDPR关于报告安全漏洞的两项新要求.

那么,GDPR是如何定义个人数据泄露的? 如果发生了,你应该如何报告? 此外, 你要如何准备一次突破呢, 如果真的发生了, 你有适当的反应和报告程序?

Preparing for and responding to personal data breaches is not just a requirement of the GDPR; it’s a good business practice in general. 以下是根据GDPR准备和应对个人数据泄露的实用清单.

为入侵做准备

1. 理解GDPR如何定义“个人数据泄露”.”

GDPR对数据泄露的定义与典型定义并无明显不同, 但重要的是要知道,一旦发生这种情况,你要遵守的标准是什么.

根据官方文本, “‘个人数据泄露’指的是导致意外或非法破坏的安全漏洞, 损失, 变更, 未经授权的披露, 或访问, 个人数据传输, 存储, 或以其他方式处理.”

2. 定位并记录网络/系统中的数据.

接下来,你需要知道什么有风险. 您的组织将个人数据存储在何处? 所有部门应通力合作,确保不遗漏任何个人资料或潜在的弱点.

一旦确定了个人数据的存放位置, 记录其位置和适当的控制,以防止未经授权的访问. 审查这些控制,确保它们是充分的,因为有一件事比正确应对入侵更好,那就是一开始就没有遇到入侵.

3. 实施控制,以帮助预防和识别漏洞.

防止保安漏洞, 确保您的组织遵循正确的信息安全卫生,并定期对员工进行安全意识培训,以便他们能够识别潜在的攻击.

另外, 通过内部和外部渗透测试和漏洞扫描,确保您一直在测试网络的外围安全. 这有助于在安全可控的环境中识别和纠正潜在的弱点.

您可能已经有了适当的防火墙配置和网络分段控制, 但也要确保你在表演 网络监控 定期检查可疑行为的日志. 另外, 培训人员识别入侵迹象, 并在组织内部正确报告违规情况.

与其他法规或合规要求不同的是,GDPR规定必须向监管机构报告个人数据泄露事件 72小时内.

情况就是这样, 重要的是要配置您的违规通知服务,以便尽早发出警报,以实现这个最小的报告窗口.

4. 执行桌面事故响应测试.

假设您已经实施了事件响应计划,请确保定期对其进行测试. 目标不一定是执行最彻底的测试, 但要确保所有涉及的员工都清楚地认识到一旦发生违规行为,他们的责任.

对入侵的回应

1. 确定泄露的程度.

不管入侵是如何被发现的, 您需要做的第一件事之一是确定它的范围. 这个缺口的性质是什么? 什么样的信息被披露,修改,删除,等等.? 有关的数据主题的大致数目,以及有关的数据记录的类别和大致数目是多少?

参考事故响应计划确定哪些人员负责发现和分析漏洞. 您的事件响应计划还应包括可能的泄露后果,以及基于泄露信息类型的缓解策略. 所以,一旦你意识到一个漏洞,开始遵循计划中概述的缓解策略. 这可能意味着让数据库脱机或阻止所有远程访问,直到您知道入侵的程度.

2. 确定您需要向谁报告该漏洞.

GDPR引入了严格的违规通知要求, 值得注意的是,强加密可以帮助您维护数据的完整性,如果您遇到了漏洞. 它还可以帮助你证明,一个漏洞不太可能对用户造成损害,因为数据是不可用的,除非解密.

也就是说, 任何个人资料泄露, 除非它“不太可能对数据主体造成伤害”,(一)在发现后72小时内报告监察机关(见第三十三条).

在很多情况下,美国政府都是如此.S. 受GDPR影响的公司是服务提供商,代表欧盟的公司行事. 如果你属于这一类, 你是一个数据处理器, 你会向与你有业务往来的欧盟公司报告违规行为. 然后,该公司将负责向适当的监管机构报告违规情况.

然而,如果你是一个数据控制器,i.e. 您的公司“决定处理个人数据的目的和方式”,“你们有责任直接向与你们有业务往来的每个欧盟国家的监管机构报告. (关于“控制器”和“处理器”的定义,请参见第4条.)

如果“个人数据泄露很可能对自然人的权利和自由造成高风险”(见第34条),则还要求“不得不当拖延”向数据主体报告侵犯行为。.

然而, 如果你能证明以下任何一项, 您无需就违反约定(根据第34条)通知数据主体:

    1. “管制员已实施适当的技术和组织保护措施, 这些措施适用于受个人数据泄露影响的个人数据, 特别是, 使未获授权查阅该等个人资料的人无法了解该等个人资料的人士, 如加密;
    1. 财务主任已采取后续措施,以确保第1款所述的数据主体的权利和自由不再可能面临高风险;
    1. 这将涉及不成比例的努力. 在这种情况下, 相反,应采取公开通报或类似措施,以同样有效的方式告知数据主体.”

请注意:上述例外只适用于数据主体,而不适用于监管当局.

除非符合第三十三条(“不太可能对数据主体造成损害”)规定的例外情况,否则任何违规行为必须向监管机构报告。.

3. 在规定的时间内向相关人员报告正确的信息.

GDPR还规定了在向监管机构或数据主体通报违规信息时应报告哪些信息. 向监察机关报告时,应当(按第三十三条规定):

    1. 描述个人资料被泄露的性质,包括在可能的情况下, 有关的资料当事人的类别及大致数目,以及有关的个人资料记录的类别及大致数目;
    1. 通报数据保护官员或其他可获得更多信息的联络点的姓名和联系详情;
    1. 描述个人资料遭泄露的可能后果;
    1. 描述管制员为处理个人资料泄露而采取或拟采取的措施, 包括, 在适当的地方, 减轻其可能的不利影响的措施.”

当通知数据主体违反时, 通知必须“用清楚易懂的语言描述个人数据泄露的性质”,(见第三十四条). 你还必须遵守上述第33条的B、C和D项.

违规通知必须在监管当局和数据主体之间透明、清晰地处理. 如果不这样做,不仅会使您不符合GDPR法规,还可能损害您所在组织的声誉.

确保事故响应计划包括 违反沟通 原则,包括以下内容:

    • 以事实为中心交流,而不是臆测.
    • 确保传达的信息是一致的.
    • 为客户提供了解数据泄露和查询数据的途径.

正如前面提到的, 违规行为必须在发现后72小时内向监管机构报告,并“不得无故拖延”向数据主体报告(见第三十三条和第三十四条)。.

GDPR规定的违规通知要求提出了新的和独特的挑战. LBMC信息安全的计算机事件响应服务可以帮助您计划和执行符合gdprm的事件响应计划.

今天明升体育app下载 了解我们如何帮助贵公司准备符合GDPR规定的所有要求.

友情链接: 1 2 3 4 5 6 7 8 9 10