GDPR: Az adatvédelmi incidensek és kezelésük érthetően

Forrás: merosus.hu

GDPR: Az adatvédelmi incidensek és kezelésük érthetően

Három nap, egész pontosan 72 óra áll a rendelkezésre, hogy bejelentsük az adatvédelmi incidenst.
Kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ennél a pontnál nyeri el a jelentőségét az összes előkészület, amit megtettünk.

Ha van adattérképünk, tudjuk, hogy milyen adatokat érinthet egy esetleges incidens.
Ha a magas kockázattal járó adatokról van hatásvizsgálatunk, tudjuk megfelelően tájékoztatni a hatóságot.
Ha van szerződésünk az adatfeldolgozóval, és nála történik incidens, mi védve vagyunk.

Példák az adatvédelmi incidensre:

  • elveszítjük a laptopot, pendrájvot, amin személyes adatokat tárolunk;
  • ellopják az adathordozóinkat;
  • előre nem látható károsodás éri az eszközeinket, pl. tűz- vagy vízkár.
  • hacker támadás éri az informatikai rendszert;
  • zsarolóprogram  áldozatai leszünk;
  • rossz helyre küldjük az e-mailt, amely személyes adatokat tartalmaz;
  • átadjuk a jelszavainkat valakinek, aki jogosulatlanul hozzáfér a személyes adatokhoz;
  • nyilvánosságra hozunk egy fényképet, amelyet nem lett volna szabad;
  • megtévesztéssel vagy más úton információt szereznek az adatokról illetéktelenek.

Miért kell erre ügyelni?

Mert kárt okozhatunk azoknak a személyeknek, akiknek az adatait kezeljük.

Milyen károkról beszélünk?

Például jó hírnév sérelme, pénzügyi veszteség, személyazonosság-lopás, vagy személyazonossággal visszaélés, hátrányos megkülönböztetés, stb.

Mi a teendő, ha megtörtént a baj és adatvédelmi incidens következett be?

1. Mindent el kell követni, hogy csökkentsük a további veszteséget, megelőzzük a további károkat. Ez jelentheti a rendszer helyreállítását, a korábbi biztonsági másolatok használatát, a rendszer teljes elszigetelését

2. Értékelni kell, hogy mekkora kockázattal jár az érintettekre nézve az incidens.

  • Milyen adatokról van szó?
  • Mennyire érzékeny adatok? (egyes adatok a személyes jellegük miatt lehetnek érzékenyek pl. egészségügyi nyilvántartás adatai, mások a következmények miatt, pl. bankszámlaadatok).
  • Ha az adatokat ellopták, titkosítva voltak-e?
  • Mi történt az adatokkal? Ha ellopták, tartalmaznak-e olyan információt, amely káros lehet az érintettekre, ha elvesztek vagy sérültek, helyreállíthatóak-e?
  • Mit tudhat meg harmadik személy az érintettről? 
  • Hány személy adatait érinti a jogsértés?
  • Kik azok a személyek, akinek az adatait érinti?
  • Járhat-e szélesebb rétegeket érintő következménnyel az incidens? Például közbiztonságra jelent-e veszélyt, vagy a közbizalomra.
     

3. Értesítési kötelezettség teljesítése

  • a hatóság és az érintett felé, ha az valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve;
  • az érintettet nem kell értesíteni, ha az adatkezelő megtette a szükséges intézkedéseket, pl. a titkosítás révén értelmezhetetlen másoknak az adat, vagy olyan intézkedéseket tett, amelyek megszüntették a kockázatot, vagy aránytalan erőfeszítést követelne az értesítés (ilyenkor a nyilvánossághoz kell fordulni).
     

Az adatvédelmi incidens bejelentésére várható formanyomtatvány.

A francia hatóság már készített egyet, kiindulásnak tökéletes, nagyjából ezekre lesz kíváncsi a hatóság egy bejelentésnél:

  • adatkezelő neve, elérhetőségei, azonosítói;
  • kapcsolattartó (adatvédelmi tisztviselő) neve, elérhetőségei;
  • az értesítés típusa (teljes, részleges, kezdeti, kiegészítő);
  • az incidens dátuma és időpontja; 
  • az incidens körülményei (titoktartás elvesztése, integritás elvesztése, rendelkezésre állás hiánya);
  • az érintett személyes adatok kategóriái és tartalma (pl. személyi adatok: név, születési dátum, életkor; vagy kapcsolati adatok: e-mail cím, lakóhely, telefonszám; vagy pénzügyi adatok: bankkártya adatai stb.);
  • az adatkezelő által a személyes adatok megsértéséért alkalmazott technikai és szervezeti intézkedések (megelőzés és kezelés is);
  • adatfeldolgozót vett-e igénybe az incidenssel érintett adatok feldolgozására;
  • az incidens leírása (helye, körülményei, konkrét események);
  • az érintettek száma;
  • lehetséges következmények;
  • az incidensre adott válaszok (ismételt előfordulás megelőzése, szervezeti intézkedések, helyreállítás, kárenyhítés;
  • érintetteket tájékoztatták-e (mikor, hány főt, milyen úton és milyen tartalommal);
  • más EU tagállamot érint-e az incidens.
     

NAGYON fontos: az adatvédelmi incidensekről minden cégre vonatkozóan nyilvántartást kell vezetni.

A nyilvántartásnak tartalmaznia kell: az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatását, és az orvoslására tett intézkedéseket. 

Ez az összefoglaló nagymértékben támaszkodik:

Ennek a cikknek a teljes szövege a merosus.hu oldalon szerepel, ők a cikk szerzői.
Nagyon jó összefoglalónak tartom, ezért raktam ki.

Jancsek Árpád

Szerző/Közzétevő
Jancsek Árpád

Én vagyok a haziorvosinfo.hu oldal adminja. :-)

Az oldalt azért hoztam létre, hogy a háziorvosoknak, az asszisztenseknek és mindenkinek könnyebb legyen a rendelőben és a betegellátásban felmerülő informatikai követelmények megismerése és teljesítése.
Informatikus vagyok, főként (házi)orvosi rendelőkben és kisebb cégeknél végzek rendszeres helyszíni (Budapest, Pest megye), vagy távoli eléréses (Magyarország) informatikai feladatokat, számítógép és szerver felügyeletet, karbantartást.
A rendelőkben már nem elég az általános hardveres/szoftveres ismeret, hanem az egészségügyi informatikai követelményekkel, orvosi szoftverekkel is tisztában kell lenni. Így van ez mostanában például az EESZT-vel, E-recepttel is.


facebookgoogle plus

GDPR