Personopplysningsbrudd
Dokumentasjon i tilfelle brudd på personopplysningssikkerheten
Bedrifter må utarbeide viss dokumentasjon i tilfelle brudd på personopplysninger. I tillegg må selskapene i visse tilfeller rapportere hendelsen til den nasjonale databeskyttelsesmyndigheten. Datasubjekter bør også informeres av selskapet, i noen tilfeller.
Demonstrere din virksomhets etterlevelse av GDPR
Det er viktig å huske på at selskaper må kunne demonstrere overholdelse av GDPR. Hvis det er tilsyn hos selskapet og DPA ber om å se dokumentasjonen av et brudd på personopplysninger som har skjedd, bryter selskapet GDPR hvis selskapet ikke har den nødvendige dokumentasjonen.
Etablere dokumentasjon i tilfelle brudd på personopplysninger i samsvar med GDPR
Det spiller ingen rolle om selskapet konkluderer med at de må informere de registrerte eller varsle bruddet på personopplysningssikkerheten til den nasjonale personvernmyndigheten når det gjelder kravet om å dokumentere bruddet. Alle selskaper må dokumentere alle brudd på personopplysningssikkerheten, uavhengig av om bruddet er meldepliktig under GDPR eller ikke. Det er bra å ha dokumentasjonen digitalt for å unngå uaktsomhet, da det er mot GDPR å ikke ha dokumentasjonen.
Forutse mulige brudd på personopplysningssikkerheten
For å kunne handle så raskt som mulig i tilfelle brudd på personopplysningssikkerheten, må selskapet allerede ha forutsett ulike situasjoner der det kan oppstå brudd på personopplysningssikkerheten. Dette vil gjøre det lettere å forberede hvordan man skal handle i tilfelle en slik hendelse. Det er positivt at selskapet forbereder seg mot ulike typer brudd på personopplysninger og cyberangrep, ved å etablere handlingsplaner og forretningskontinuitetsplaner.
Dette skal særlig angis i dokumentasjonen:
Hendelse
Informasjon om hva som har skjedd og hvordan det har skjedd. Detaljene om hendelsen skal registreres så mye som mulig.
Tidsberegning
Tidspunktet da bruddet på personopplysningssikkerheten inntraff, og når den behandlingsansvarlige ble oppmerksom på det; Det kan være at hendelsen skjedde for fem dager siden, men det er først i dag at selskapet ble oppmerksom på det. I så fall skal foretaket registrere disse to datoene i dokumentasjonen.
Handlinger
Tiltak som foretaket har truffet for å minimere risikoene og konsekvensene av bruddet på personopplysningssikkerheten.
Melding om brudd på personopplysningssikkerheten til en personvernmyndighet skal skje innen 72 timer etter at selskapet har oppdaget bruddet på personopplysningssikkerheten. I tilfelle av en straffbar handling, for eksempel IT-kapring, bør selskapet også kontakte politiet for å rapportere lovbruddet til politiet.
Selskapet skal etablere og gjennomføre skriftlige interne prosedyrer
Det er nyttig for bedrifter å ha skriftlige interne prosedyrer for hvordan ansatte skal handle i tilfelle brudd på personopplysninger. Faktisk er det viktig å handle så raskt som mulig, jo lengre tid, desto verre er konsekvensene. I tillegg, i tilfelle et meldepliktig brudd på personopplysninger, må selskapet sørge for at det overholder tidsrammene som er angitt i GDPR. Skriftlige interne rutiner for ansatte kan gjøre prosessen mer effektiv og redusere risikoen for at ansatte gjør feil i løpet av prosessen.
Mer informasjon om personlige data
Forhindre brudd på personopplysninger
I GDPR er det veldig klart at selskaper bør forhindre brudd på personopplysninger ved å implementere hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger. Dette gjenspeiles i ett av de syv (7) grunnleggende prinsippene for databeskyttelse: prinsippet om integritet og fortrolighet,For eksempel kan bedrifter kryptere personopplysninger og bruke en skytjeneste der de sikkerhetskopierer personopplysninger. Jo viktigere personopplysningene er, desto høyere er sikkerhetskravene.