Wie verhalte ich mich im Falle einer Datenschutzverletzung?
Wie verhalte ich mich im Falle einer Datenschutzverletzung?
Zunächst einmal: Keine Panik und darauf achten, dass Sie Ihr Handtuch immer bei sich haben.
Endlich ist es passiert. Es gab einen Fehler in Ihrem System und jemand hat ihn ausgenutzt, um das auszuführen, was im Fachjargon a genannt wird Datenmissbrauch. Eine Verletzung des Schutzes personenbezogener Daten. Keine Sorge, das ist kein ungewöhnliches Phänomen. Die Glücklichsten treffen weniger als einmal im Jahr auf diese Eventualität, aber in einer Welt, die sich so schnell entwickelt wie das Internet, kann es passieren, dass diese Eventualität viel häufiger vorkommt. Während Sie versuchen, nicht in Panik zu geraten, empfehlen wir Ihnen, sich an die Faustregel zu halten: Um mit einem Verstoß fertig zu werden, müssen Sie es tun Befolgen Sie die Hinweise der Europäischen Verordnung 16/679 (DSGVO), die Anleitungen dazu gibt, was zu tun ist, wenn eine Datenschutzverletzung auftritt.
Was ist eine Datenschutzverletzung?
Verletzungen des Schutzes personenbezogener Daten sind von 6 Arten, und jede davon kann freiwillig oder zufällig sein basierend darauf, warum es aufgetreten ist:
- Unautorisierter Zugriff. Jemand konnte keinen Zugang zu bestimmten Informationen haben, aber er hatte es. Falls dies ein Fehler war, haben Sie möglicherweise ein wichtiges Dokument an eine Person statt an eine andere gesendet. Es war ein Unfall, aber es ist immer noch eine Datenschutzverletzung. Falls Sie jedoch unbefugten Zugriff auf die Daten einer anderen Person haben, kann dieses Ereignis zu einer Spionage.
- Unerlaubte Kopie. Jemand hat einige Daten genommen, die ihm nicht gehörten, und sie für sich selbst kopiert. Dies könnte ein Unfall sein, wenn ein Mitarbeiter beschließt, ein Dokument auszudrucken, das er nicht haben sollte, um ein Arbeitsdokument besser zusammenzustellen. Im Falle des freiwilligen Kopierens für weniger klare Ziele könnte dies der Fall sein Diebstahl.
- Unerwartete Offenlegung. Jemand verliert versehentlich Daten, die aus irgendeinem Grund nicht online sein sollten. Beispielsweise wird ein Foto eines wichtigen Kunden auf dem Facebook-Profil des Unternehmens veröffentlicht. Im Betrugsfall wird diese Operation aufgerufen Diffusion.
- Unbefugte Änderung. Jemand hat einige Daten geändert, obwohl dies nicht möglich war. Wenn es versehentlich passiert ist, ist es das. Sonst könnte es sein Manumission durch einen Hacker oder Angreifer.
- Zugriffsverlust. Jemand verliert Informationen und diese sind nicht mehr verfügbar. Das Vergessen Ihres Computerkennworts ist ein Verstoß, wussten Sie das? Und falls es absichtlich gemacht wurde, wird es Verschlüsselung.
- Datenlöschung. Jemand löscht sensible Daten. Geschieht dies versehentlich, handelt es sich um einen Verstoß. Falls die Kündigung jedoch freiwillig ist, fallen die Kosten an Datenvernichtung.
Verletzung personenbezogener Daten: Wie soll man sich verhalten?
Bitte beachten Sie die Artikel 33 und 34 der DSGVO. Diese beiden Artikel beziehen sich auf die europäische Verordnung, die die Verfahren angeben soll, die im Falle einer Datenschutzverletzung zu befolgen sind. Artikel 33 betrifft die interne Verwaltung des Unternehmens und die Beziehungen zum Garantiegeber, während Artikel 34 die Verwaltung mit den interessierten Parteien oder den Personen betrifft, über deren personenbezogene Daten wir verfügen.
Das ist unbedingt anzugeben Die Datenschutzverletzung muss immer aufgezeichnet werden e, gegebenenfalls dem Garanten mitgeteilt wie in Artikel 33 angegeben. Darin heißt es auch, dass der für die Datenverarbeitung Verantwortliche im Falle eines Verstoßes die Aufsichtsbehörden innerhalb von 72 Stunden nach Kenntnis davon benachrichtigen muss, insbesondere wenn dies ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Die Datenverarbeiter (Lohnbuchhalter, Buchhalter, Systemanalytiker …) müssen den Datenverantwortlichen benachrichtigen.
Wenn Sie sich entscheiden, den Garanten zu benachrichtigen, benötigt dieser Informationen: Art des Verstoßes, Anzahl der beteiligten Personen, Vertragsdaten des Datenschutzbeauftragten, mögliche Folgen des Verstoßes und etwaige ergriffene oder zu ergreifende Maßnahmen.
Das Unternehmen ist jedoch dazu verpflichtet kommuniziere alles, was passiert, unabhängig davon, ob es sich um unbeabsichtigte oder vorsätzliche Verstöße handelt, und übernehmen die Verantwortung (Accountability).
Die Verantwortung?
Das Unternehmen muss verantwortlich, kompetent und bewusst sein, was passiert in seinen Umgebungen und Systemen. Das Unternehmen muss nachweisen, dass es in der Lage ist, das Problem proaktiv zu lösen, und nachweisen, dass es über die Tools verfügt, um die Folgen der Datenschutzverletzung einzudämmen. Dies geschieht durch die Bereitstellung von Beweisen und Daten – und durch das Angebot, dem Garanten die Gewissheit zu geben, dass das, was passiert ist, nie wieder passieren wird. Bei fehlender „Rechenschaftspflicht“ droht ein Bußgeld.
Welche Verstöße sind dem Garanten mitzuteilen?
Dem Garanten werden nur vorsätzliche und keine zufälligen Verstöße mitgeteilt. Der für die Datenverarbeitung Verantwortliche muss entscheiden, ob er gemäß der Logik der Rechenschaftspflicht benachrichtigt, wenn die Datenschutzverletzung die Rechte und Freiheiten von Personen beeinträchtigen kann. L'ENISA (Die Agentur der Europäischen Union für Cybersicherheit) hat a Methode zur Risikoberechnung über die Freiheit von Personen angesichts einer Verletzung. Diese Methodik kann auch im Unternehmen angewendet werden.
Woher wissen Sie, ob ein Verstoß vorliegt?
Der Verstoß muss verstanden werden, um wirklich erkannt zu werden. Dies ist machbar, wenn im Unternehmen eine angemessene Schulung vorhanden ist, um das Risiko abzuschätzen und etwaige Schäden zu verstehen. Kurz gesagt, Sie brauchen keinen Ingenieur, der zwei Monate lang vor Ort ist und versucht, die möglichen Schäden eines verlorenen USB-Sticks abzuschätzen: Sie brauchen eine Schulung, die dem verfügbaren Personal hilft, das Ausmaß des Schadens ohne weiteres zu verstehen zu den Kosten bereits wichtiges Management. Einfach ausgedrückt, die Mitarbeiter müssen darin geschult werden, was ein Verstoß mit sich bringt, und die betroffenen Personen rechtzeitig über das Verfahren informieren.
Artikel 34 sagt uns, dass der Datenverantwortliche darf der betroffenen Person den Verstoß nicht mitteilen Quando:
- Es werden angemessene technische und organisatorische Maßnahmen ergriffen, jedoch mit einer Benachrichtigung an den Garanten und Nachweis der Verantwortlichkeit.
- Es hat Maßnahmen ergriffen, um ein hohes Risiko von Datenschutzverletzungen zu vermeiden.
- Die Offenlegung kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordert – in diesem Fall muss sie öffentlich erklärt werden!
Datenschutzverletzungen passieren. Aber wie denkst du, kannst du damit umgehen?
Das könnte Sie auch interessieren:
Junge Leute und Kryptowährungen: So erfahren Sie mehr über Bitcoin…
Kinder an digitale Währungen und Blockchain heranzuführen, kann angesichts ihrer Affinität zu Technologie und Innovation ein spannendes Unterfangen sein
„Der Patient im Mittelpunkt“: eine große Hoffnung und eine Sitzung im Senat
Das Thema der Bedeutung von Innovationen bei Medizinprodukten für die europäische Gesundheitsversorgung wird am 15. Mai in Rom von Experten und Politikern beleuchtet
Vier Länder, ein riesiger Ozean: der Fall CMAR
Es handelt sich um den Meereskorridor des östlichen tropischen Pazifiks: Panama, Ecuador, Kolumbien und Costa Rica verbünden sich zum Schutz der Meere und Meeresarten ...
Lausanne, der Umweltverschmutzung auf der Spur: die Geschichte einer Verbrennungsanlage
Ein Team von Wissenschaftlern hat die Ereignisse um die Müllverbrennungsanlage Vallon und die unsichtbare Kontamination rekonstruiert, die den Kanton Waadt schockierte
//