Hvernig á að haga sér ef um gagnabrot er að ræða?

Fyrst af öllu, ekki örvænta og vertu alltaf viss um að hafa handklæðið þitt meðferðis.

Það gerðist loksins. Það var galli í kerfinu þínu og einhver nýtti sér það til að framkvæma það sem í hrognamáli er kallað a gögn brot. Persónuupplýsingabrot. Ekki hafa áhyggjur, þetta er ekkert óvenjulegt fyrirbæri. Þeir heppnustu lenda í þessu sjaldnar en einu sinni á ári, en í heimi sem þróast eins hratt og internetið getur það gerst að þessi atburður verði mun tíðari. Á meðan þú reynir ekki að örvænta hvetjum við þig til að halda þig við þumalputtaregluna: til að takast á við brot þarftu að fylgja leiðbeiningum Evrópureglugerðarinnar 16/679 (GDPR) sem veitir leiðbeiningar um hvað á að gera ef gagnabrot á sér stað.

Hvað er gagnabrot?

Persónuupplýsingabrot eru af 6 tegundir, og hver þeirra getur verið valfrjáls eða óvart byggt á því hvers vegna það gerðist:

• Óviðkomandi aðgangur. Einhver gat ekki haft aðgang að ákveðnum upplýsingum en samt hafði hann það. Ef þetta voru mistök gætirðu hafa sent mikilvægt skjal til eins manns í stað annars. Þetta var slys en þetta er samt gagnabrot. Hins vegar, ef þú hefur gert óviðkomandi aðgang að gögnum einhvers, getur þessi atburður orðið njósnir.
• Óleyfilegt afrit. Einhver tók einhver gögn sem tilheyrðu honum ekki og afritaði fyrir sig. Þetta gæti verið slys ef vinnufélagi ákveður að prenta skjal sem hann ætti ekki að hafa til að geta betur sett saman vinnuskjal. Ef um er að ræða frjálsa afritun í óljósari markmiðum gæti það verið þjófnaður.
• Óvænt uppljóstrun. Einhver lekur óvart gögnum sem ættu ekki að vera á netinu af einhverjum ástæðum. Til dæmis er mynd af mikilvægum viðskiptavini birt á Facebook prófíl fyrirtækisins. Ef um svik er að ræða er þessi aðgerð kölluð dreifing.
• Óheimil breyting. Einhver breytti einhverjum gögnum, jafnvel þó hann gæti það ekki. Ef það gerðist fyrir mistök, þá er þetta það. Annars gæti það verið áttræði af tölvuþrjóta eða árásarmanni.
• Aðgengisleysi. Einhver tapar upplýsingum og þær eru ekki lengur tiltækar. Að gleyma lykilorði tölvunnar er brot, vissir þú það? Og ef það var gert viljandi, þá verður það dulkóðun.
• Eyðing gagna. Einhver eyðir viðkvæmum gögnum. Ef þetta gerðist fyrir mistök er það brot. En ef afbókunin er af fúsum og frjálsum vilja, þá hefur hún í för með sér gagnaeyðingu.

Brot á persónuupplýsingum: hvernig á að haga sér?

Vinsamlegast vísað til 33. og 34. greinar GDPR. Þessar tvær greinar vísa til evrópsku reglugerðarinnar sem leitast við að gefa til kynna hvaða verklagsreglur skuli fylgja ef um gagnabrot er að ræða. 33. grein varðar innri stjórnun félagsins og samskipti við ábyrgðaraðila en 34. grein snertir stjórnun við hagsmunaaðila eða þá sem við höfum persónuupplýsingar um.

Nauðsynlegt er að tilgreina það gagnabrotið verður alltaf að skrá e, í tilviki, tilkynnt ábyrgðarmanni eins og segir í 33. gr. Þar segir einnig að ef um brot er að ræða ber ábyrgðaraðila að tilkynna eftirlitsyfirvöldum það innan 72 klukkustunda frá því að hann fékk vitneskju um það, sérstaklega ef það hefur í för með sér hættu fyrir réttindi og frelsi einstaklinga. Gagnavinnsluaðilar (launafyrirtæki, endurskoðandi, kerfissérfræðingar ...) verða að láta ábyrgðaraðila vita.

Ef þú ákveður að tilkynna ábyrgðarmanni þarf hann upplýsingar: eðli brotsins, fjölda fólks sem á hlut að máli, samningsgögn gagnaverndarfulltrúa, hugsanlegar afleiðingar brotsins og hvers kyns ráðstafanir sem gripið er til eða á að grípa til.

Hins vegar ber félaginu skylda til að miðla öllu sem gerist, óháð því hvort brotin eru óviljandi eða af ásetningi, og axla ábyrgð (ábyrgð).

Ábyrgðin?

Fyrirtækið verður að vera ábyrgur, hæfur og meðvitaður um hvað er að gerast í umhverfi sínu og kerfum. Fyrirtækið verður að sýna fram á getu sína til að leysa vandamálið með fyrirbyggjandi hætti og sýna fram á að það hafi tæki til að stemma stigu við afleiðingum gagnabrotsins. Þetta er gert með því að leggja fram sönnunargögn og gögn – og með því að bjóða þér að bjóða ábyrgðarmanni vissu um að það sem gerðist muni aldrei gerast aftur. Ef skortur er á "ábyrgð" er sekt.

Hver eru brotin sem á að tilkynna ábyrgðarmanni?

Aðeins sjálfviljug brot en ekki slys eru tilkynnt til ábyrgðaraðila. Ábyrgðaraðili þarf að ákveða hvort hann skuli tilkynna, í rökfræði ábyrgðar, ef gagnabrotið getur valdið tjóni á réttindum og frelsi einstaklinga. L'ENISA (The European Union Agency for Cybersecurity) hefur stofnað a aðferðafræði við útreikning áhættu um frelsi manna í ljósi brots. Þessari aðferðafræði er einnig hægt að beita í fyrirtækinu.

Hvernig veistu hvort um brot hafi verið að ræða?

Skilja verður að brotið sé raunverulega uppgötvað. Þetta er framkvæmanlegt ef það er fullnægjandi þjálfun í fyrirtækinu til að meta áhættuna og skilja hvers kyns tjón. Í hnotskurn, þú þarft ekki verkfræðing sem kemur inn á vettvang í tvo mánuði til að reyna að áætla hugsanlegar skemmdir á týndu glampi-drifi: þú þarft þjálfunarnámskeið sem hjálpar tiltæku starfsfólki að skilja umfang tjónsins án þess að bæta við verulegum stjórnunarkostnaði. Einfaldlega sagt, starfsfólk verður að fá þjálfun í því hvað felst í broti og í að koma málsmeðferðinni á framfæri við skráða aðila tímanlega.

34. gr. segir okkur að ábyrgðaraðili gagna má ekki koma brotinu á framfæri við hinn skráða hvenær:

• Fullnægjandi tæknilegar og skipulagslegar ráðstafanir eru gerðar, en með tilkynningu til ábyrgðaraðila og sönnun um ábyrgð.
• Það hefur samþykkt ráðstafanir til að forðast mikla hættu á gagnabrotum.
• Það má sleppa upplýsingagjöf ef það krefst óhóflegrar fyrirhafnar - í þessu tilviki verður að lýsa því yfir opinberlega!

Gagnabrot eiga sér stað. En hvernig heldurðu að þú ráðir við það?