Bewertung von Datenschutzverletzungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Bewertungen von Datenschutzverletzungen spielen eine wichtige Rolle, wenn ein Incident die Privatsphäre von Personen gefährdet. Diese Bewertungen helfen dabei, festzustellen, ob ein Verstoß vorliegt, und dienen dann als Maß für das Ausmaß und die Auswirkungen eines Verstoßes.

    Es gibt zwei Möglichkeiten, eine Verstoßbewertung auszulösen: Sie kann direkt aus einem Datenschutzfall initiiert werden, oder Sie können die Verstoßbewertung als eigenständige Bewertung initiieren. Wenn eine Bewertung als eigenständige Bewertung initiiert wird, werden die Ergebnisse analysiert, und bei Bedarf kann ein Datenschutzfall erstellt werden. Diese Flexibilität stellt sicher, dass Organisationen umgehend auf potenzielle Verstöße reagieren können. Sie können für jeden Datenschutzfall nur eine Verstoßbewertung durchführen.

    Im Falle eines Verstoßes können bestimmte Kriterien, z. B. ob ein Server mit personenbezogenen Daten gefährdet ist, zur Initiierung einer Verstoßbewertung führen, bevor ein Datenschutzfall erstellt wird. Das Hauptziel dieser Bewertung besteht darin, die Art der gefährdeten Daten schnell zu bestimmen. Wenn der Incident beispielsweise mit einem Security Incident zusammenhängt, werden die Sicherheitsanalysten damit beauftragt, die Verstoßbewertung auszufüllen und Details zum Incident-Typ, den betroffenen Standorten und vorhandenen Risikominderungsmaßnahmen wie Verschlüsselung anzugeben. Anschließend überprüfen Datenschutzanalysten die Bewertung und gehen dabei auf die Einzelheiten des Incident ein. Basierend auf dieser Analyse kann ein Datenschutzfall erstellt werden, um zukünftige Vorkommnisse zu verhindern und rechtliche Verpflichtungen im Zusammenhang mit dem Verstoß zu verwalten.

    Elemente einer Bewertung von Datenschutzverletzungen

    Eine Bewertung einer Datenschutzverletzung muss eindeutig die Gerichtsbarkeit angeben, in der die Verletzung aufgetreten ist. Dies ist von entscheidender Bedeutung, da jede Gerichtsbarkeit unterschiedlichen Gesetzen und Vorschriften in Bezug auf Datenschutz und Datenschutz unterliegt. Außerdem müssen die Artefakte der personenbezogenen Daten (PI) angegeben werden. Die Begriffe PI-Artefakte und Gerichtsbarkeiten werden in den folgenden Abschnitten erläutert.
    PI-Artefakt
    PI-Artefakte beziehen sich in der Regel auf physische oder digitale Formen personenbezogener Daten, die verloren gehen oder gestohlen werden können. Diese Artefakte können verbale (gesprochen oder aufgezeichnet), visuelle (druckte oder angezeigte), elektronische (auf Geräten oder Systemen gespeicherte) oder papierbasierte (Dokumente oder Datensätze) Formulare von Daten enthalten, die personenbezogene Daten enthalten. Ein PI-Artefakt enthält Details wie die Art des Incident, die Beschreibung der Gefährdung, die Details des Empfängers, den Risikominderungsplan usw.
    Gerichtsbarkeit
    Jedes Land oder jede Region unterliegt unterschiedlichen Gesetzen und Vorschriften. Dieser Unterschied erfordert, dass jede betroffene Gerichtsbarkeit während der Verstoßbewertung identifiziert wird. Die Gerichtsbarkeit enthält Details wie die Anzahl der betroffenen Personen.

    Workflow einer Bewertung von Datenschutzverletzungen

    Eine Verstoßbewertung kann zwar über Employee Center, aber auch über eine -Anwendung initiiert werden. Die folgende Abbildung zeigt den Verstoßbewertungs-Workflow am Beispiel eines Security Incident.
    Hinweis:
    In dieser Abbildung wird Security Incident nur als Beispiel für ein besseres Verständnis des Workflows verwendet.
    Abbildung : 1. Workflow zur Bewertung von Datenschutzverletzungen
    Schritte zum Erstellen eines Datenschutzfalls mithilfe einer Verstoßbewertung.