Sikkert nok? Blogg om informasjonssikkerhet

GDPR – Håndtering av brudd på personopplysningssikkerheten

[fa icon="calendar"] 22. mars 2018 / av Jakob Holm Hansen

Har virksomheten gjort alt den kan for å beskytte den registrerte før, under og etter en sikkerhetshendelse? Det er til syvende og sist dette spørsmålet private og offentlige virksomheter må stille seg selv, når ansvar skal plasseres og eventuelle sanksjoner skal bestemmes, etter et brudd på personopplysningssikkerheten.

I vår nye veiledning; GDPR – Håndtering av brudd på personopplysningssikkerheten i tre faser, gir vi vår anbefaling om hvordan du skal forberede og forankre passende tiltak, inkludert regelmessige treningsrutiner og en tredelt handlingsplan. Du får også med de formelle kravene til brudd.

Når offentlige eller private virksomheter blir pålagt å oppfylle kravene i The General Data Protection Regulation, GDPR, kan det være en hjelp å minne seg selv om formålet med forordningen. Gjennom mange år har noen virksomheter hatt en kommersiell interesse i å samle inn og oppbevare personopplysninger. Hvis virksomhetene i denne prosessen har brutt lovgivningen, har håndhevelsen vært sporadisk og har derfor ikke virket særlig avskrekkende. Fra og med implementeringen av GDPR blir det slutt på denne praksisen. I fremtiden skal virksomheter ha et viktig og saklig formål med innhenting av personopplysninger. De skal oppbevare, beskytte og slette disse personopplysningene etter høye sikkerhetsstandarder. Og de skal kunne dokumentere alt de gjør. Ellers risikerer de store bøter.

Det er derfor naturlig at GDPR også inneholder formelle krav til hvordan et brudd på personopplysningssikkerheten skal håndteres. Når virksomheten innhenter opplysninger om den registrerte, skjer det som en del av en tillitsøvelse. Når noe går galt, og det skjer et brudd på tilliten, har den registrerte og myndighetene som handler på vegne av borgerne krav på å få vite hva som gikk galt og hvilke tiltak som er gjort for at det ikke skal skje igjen.

GDPR – Håndtering av brudd på personopplysningssikkerheten i tre faser gjennomgår hva GDPR stiller krav om. Veiledningen innleder med å definere hva personopplysninger er, hvilke typer sikkerhetsbrudd det skilles mellom og hvilke konsekvenser et brudd på personopplysningssikkerheten kan ha for den registrerte. Deretter kommer veiledningen med anbefalinger for etablering og forankring av en passende beredskap, blant annet faste øvelsesrutiner og en prosessbasert handlingsplan i tre faser.Now deliver what you promised in the first section. This is the longest part of the post, so make it easy to read. Use short paragraphs, bullet lists, and bold headings to set different sections apart. 

Hent veiledningen her

 

Emner: personvernforordningen, GDPR

Sikkert nok?

NorthGRC blogg er gode råd og kunnskap om effektiv IT-sikkerhet, IT-sikkerhetsstrategier, risikostyring, etterlevelse av standarder og andre krav, beredskapsplanlegging, ISO2700x, EU personvern, PCI DSS, etc.

Populære innlegg