Was machst Du bei einem Vorfall?

In der Verordnung ist es verpflichtend, dass im Falle einer Datenverletzung die Betroffenen und die Behörde informiert werden. Die Frist für die Information ist 72 Stunden nach dem Kenntnis davon erlangt wurde.

Um das zu gewährleisten, müssen die Prozesse dazu etabliert sein. Für so einen Prozess muss auch der Datenschutzbeauftragte beigezogen werden.

Das Format für den Bericht sieht folgendermaßen aus:

  • Wie wurde auf den Vorfall reagiert: Welche Maßnahmen wurden ergriffen um die Wirkungen der Datenverletzung abzuschwächen. Gibt es ein hohes Risiko für Rechte und Freiheiten der Betroffenen.

Verschlüsselung zur Risikominimierung

Eine geeignete Datenverschlüsselung kann den Schaden von Datenverletzungen sehr reduzieren. Bedenke, dass  Datenverletzungen am meisten bei mobilen Endgeräten zu erwarten sind. Ein Beispiel sind verloren gegangene Laptops, I-Pads oder Mobiltelefone.

Achtung! Die Verschlüsselung der Festplatte ist eine wichtige Maßnahme um im Falle des Verlustes eine Datenschutzverletzung zu verhindern.

Aber auch hier möchte ich hinzufügen, dass das Verlieren von personenbezogenen Daten in Papierform ebenfalls unter „Datenverletzungen“ fällt.

Geeignete Vorfallsreaktionen sind in der ISO 27001 angegeben.

Geeignete Verschlüsselungen findet man in FIPS 140-konformen Lösungen.

Die Verschlüsselung hätte auch den Vorteil, dass Du einen hohen Sicherheitsstandard für Deine personenbezogenen Daten hast, weiters bei der Risikoanalyse die Verschlüsselung sich als positiver Bewertungs-Faktor niederschlägt und zusätzlich noch das Vertrauen Deiner Kunden in Dich stärkt. Man darf nicht unterschätzen wie sensibel Betroffene darauf reagieren, wenn mit ihren Daten vertrauensvoll und sicher umgegangen wird.

Ich würde das Verschlüsselungsszenario nicht nur auf die Speicherung beschränken, sondern auch für die Einrichtung von sicheren Verbindungen in Erwägung ziehen. Beschäftige Dich vielleicht auch mit einer TLS Technologie (Transport Layer Security), um hohe Standards der Sicherheit zu gewährleisten.

970x90

Die Idee mit dem Verschlüsseln in Zusammenhang mit dem Datenschutz ist nicht neu. In England gibt es seit langem die Datenschutzbestimmung, dass Endgeräte verschlüsselt sein müssen. Wenn Du als Firma in England einen Laptop mit Kundendaten verlierst, musst Du eine Selbstanzeige machen. Das darauf folgende Strafmaß liegt dann bei rund 60.000,– Englische Pfund.

Banner 728x90