Kostenloser Versand ab € 55
0
  • Home
  • /
  • Protokoll über die Verpflichtung zur Meldung von Datenschutzverletzungen

Protokoll über die Verpflichtung zur Meldung von Datenschutzverletzungen

Erwägungen:

  • Crystal Colloidals B.V. legt großen Wert auf die angemessene Sicherheit ihrer (elektronischen) Systeme, in denen personenbezogene Daten gespeichert und verarbeitet werden.
  • Dennoch kann nie ganz verhindert werden, dass ein Datenleck entsteht.
  • Crystal Colloidals B.V. ist gemäß der Allgemeinen Datenschutzverordnung (AVG) verpflichtet, (schwerwiegende) Datenverletzungen der niederländischen Datenschutzbehörde und den Betroffenen zu melden.
  • Crystal Colloidals B.V. möchte seinen gesetzlichen Verpflichtungen nachkommen
  • Crystal Colloidals B.V. hat daher eine Politik formuliert, um im unwahrscheinlichen Fall eines Datenlecks so adäquat wie möglich zu handeln.

1 - Definition einer Datenschutzverletzung

Eine Datenschutzverletzung liegt vor, wenn eine Sicherheitslücke vorliegt, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung von oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete Daten führt.

2 - Interne Verantwortliche für die Meldung von Datenverstößen

  1. Crystal Colloidals B.V. hat einen internen Datenverantwortlichen ernannt, der für die Meldung einer Datenverletzung verantwortlich ist.
  2. Die zuständige Person ist die Direktion, deren erster Ansprechpartner Cade Howe ist, Telefonnummer: 0475-785447; E-Mail-Adresse: info@crystal-colloidaal.nl , nachstehend"interner Manager" genannt.

3 - Interne Benachrichtigung bei Entdeckung einer Datenschutzverletzung

  1. Jeder, der bei Crystal Colloidals B.V. einen Verstoß gegen die Datenschutzbestimmungen feststellt, meldet dies unverzüglich dem internen Manager.
  2. Wenn möglich, sorgt die Person, die das Datenleck entdeckt hat, gleichzeitig dafür, dass die durchgesickerten Daten unverzüglich und aus der Ferne gelöscht oder unzugänglich gemacht werden.

4 - Untersuchung durch den internen Manager

Der interne Manager prüft unter anderem:

  • ob personenbezogene Daten verloren gegangen sind oder unrechtmäßig verwendet werden könnten
  • Wer oder welche Abteilungen innerhalb der Organisation sind an der Datenverletzung beteiligt?
  • ob ein Verarbeiter an dem Vorfall beteiligt ist

5 - Kampf gegen eine Datenschutzverletzung

Der interne Manager stoppt das Datenleck, wenn es noch möglich ist, und ergreift darüber hinaus die notwendigen Maßnahmen, um das Datenleck so gut wie möglich zu bekämpfen.

6 - Bestimmung der Folgen einer Datenschutzverletzung

Der interne Manager untersucht die möglichen Folgen des Datenlecks anhand der Art und des Umfangs der ausgetretenen Daten und stellt fest, welche nachteiligen Folgen sich für die Betroffenen ergeben können.

7 - Zusammenarbeit bei der Bereitstellung von Informationen über Datenschutzverletzungen

Der Entdecker/Melder des Datenlecks arbeitet umfassend mit der internen verantwortlichen Stelle zusammen, indem er die folgenden Fragen so schnell und so gut wie möglich (schriftlich) beantwortet:

  • Was ist passiert? (Beschreibung des Vorfalls)
  • Wurde er versehentlich oder in böser Absicht (z. B. durch gehackte Daten) verursacht?
  • Wann ist es passiert? (Datum und Uhrzeit)
  • Wann wurde sie entdeckt?
  • Welche Art von Daten (Aufzeichnungen) sind durchgesickert?
  • Sind die Daten verschlüsselt, und wenn ja, wie?
  • Können die Daten aus der Ferne gelöscht oder unzugänglich gemacht werden, und wenn ja, wurde dies getan?
  • Was sind die möglichen Folgen für die Beteiligten?
  • Welche Personengruppe(n) ist (sind) betroffen (z. B. Schüler, Patienten, Premium-Mitglieder)?
  • Wie viele Personen sind betroffen (ungefähr)?
  • Sind auch Daten von Personen in anderen EU-Ländern von der Datenschutzverletzung betroffen?
  • Wurden als Folge des Vorfalls bereits technische und/oder organisatorische Maßnahmen ergriffen?

8 - Verfügbarkeit des Personals nach Entdeckung einer Datenschutzverletzung

Der Verantwortliche der Abteilung, in der das Datenleck aufgetreten ist, sowie die Person, die das Datenleck entdeckt hat, und jeder, der aufgrund seiner Position oder seines Wissens in der Lage ist, organisatorische und/oder technische Maßnahmen zu ergreifen, um die Folgen des Datenlecks zu begrenzen, steht in den ersten 24 Stunden nach der Entdeckung des Datenlecks für Beratungen mit dem internen Verantwortlichen oder den von ihm beauftragten Sachverständigen und gegebenenfalls für die Durchführung der aufgrund des Datenlecks angeordneten Arbeiten zur Verfügung.

9 - Entscheidung über die Benachrichtigung bei Datenschutzverletzungen

  1. Der interne Verantwortliche entscheidet so schnell wie möglich, in jedem Fall aber innerhalb von 60 Stunden nach der Entdeckung des Datenlecks - gegebenenfalls in Absprache mit dem Leiter der Abteilung, in der das Datenleck entdeckt wurde, und/oder von ihm benannten Sachverständigen -, ob das Datenleck der Behörde für den Schutz personenbezogener Daten und/oder den Betroffenen gemeldet werden muss.
  2. Grundsätzlich wird ein Datenleck immer der Behörde für personenbezogene Daten gemeldet, es sei denn, es ist unwahrscheinlich, dass das Datenleck ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
  3. Der Meldung der Datenschutzverletzung sind Antworten auf die in Abschnitt 7 beschriebenen Fragen beigefügt.
  4. Ein Datenleck, das der Aufsichtsbehörde für den Schutz personenbezogener Daten gemeldet wurde, ist auch dann den Beteiligten zu melden, wenn es ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, es sei denn, es wurden in der Zwischenzeit geeignete Maßnahmen zur Abwendung des hohen Risikos getroffen.

10 - Meldung von Datenschutzverletzungen an die Behörde für den Schutz personenbezogener Daten und/oder an die Betroffenen

  1. Erforderlichenfalls sorgt der interne Manager für die Benachrichtigung der Behörde für den Schutz personenbezogener Daten und/oder der betroffenen Person(en).
  2. Die Benachrichtigung erfolgt so schnell wie möglich nach der Entdeckung, spätestens jedoch 72 Stunden nach der Entdeckung des Datenlecks.
  3. Ein anderer Mitarbeiter als der interne Verantwortliche darf das (mögliche) Datenleck nicht an die Behörde für den Schutz personenbezogener Daten und/oder die betroffene Person melden.
  4. Ist ein Mitarbeiter mit der Entscheidung des internen Managers, ob er die Datenschutzverletzung der Behörde für personenbezogene Daten und/oder der betroffenen Person(en) melden soll oder nicht, nicht einverstanden, kann er seine Beschwerden der Geschäftsleitung vorlegen.
  5. Auf Verlangen hat ein Mitarbeiter mit der verantwortlichen Stelle umfassend zu kooperieren, um die betroffenen Personen gemäß § 34 AVG über das Datenleck informieren zu können.

11 - Folgen der Meldung von Datenschutzverletzungen

  1. Wenn die Datenschutzverletzung negative Folgen für die Betroffenen hat, wird sich der interne Verantwortliche bemühen, diese Folgen so weit wie möglich zu begrenzen.
  2. Je nach Art und Ausmaß der Datenschutzverletzung für die Betroffenen entscheidet die intern zuständige Stelle:
  • Die Art und Weise, in der die Betroffenen informiert werden (in jedem Fall einschließlich der Art der betroffenen personenbezogenen Daten, der möglichen Folgen, der Maßnahmen, die Crystal Colloidals B.V. ergreifen wird, und der Möglichkeiten, wie die Betroffenen den Schaden selbst verhindern oder begrenzen können).
  • welche Art von Nachsorge die Betroffenen erhalten werden
  • welche Maßnahmen im Interesse der Organisation erforderlich sind
  1. Wenn eine Datenschutzverletzung aufgetreten ist - unabhängig davon, ob sie gemeldet wurde oder nicht - werden so schnell wie möglich angemessene technische und/oder organisatorische Maßnahmen ergriffen, um künftige ähnliche Datenschutzverletzungen zu verhindern.

12 - Führen des Registers der Datenschutzverletzungen

Der interne Manager führt ein Register aller Datenschutzverletzungen, in dem alle Daten im Zusammenhang mit der Datenschutzverletzung festgehalten werden, wie z. B:

  • eine Beschreibung des Vorfalls
  • Datum und Uhrzeit der Datenschutzverletzung
  • Datum und Uhrzeit der Entdeckung der Datenschutzverletzung
  • Beschreibung der Art der ausgetretenen personenbezogenen Daten
  • Beschreibung der Kategorie(n) der betroffenen Personen
  • Beschreibung der Anzahl der beteiligten Personen (annähernd)
  • ob auch Daten von Personen in anderen EU-Ländern durchgesickert sind
  • ob der Vorfall der Behörde für den Schutz personenbezogener Daten gemeldet wurde und, falls ja, Datum und Uhrzeit der Meldung
  • ob der Vorfall den Beteiligten gemeldet wurde und, falls ja, Datum und Uhrzeit der Meldung
  • wie die Beteiligten informiert worden sind
  • die Folgen der Datenverletzung, wenn möglich mit Datum und Uhrzeit
  • welche technischen und/oder organisatorischen Maßnahmen nach der Datenverletzung getroffen wurden, unter Angabe von Datum und Uhrzeit