Erstellen eines Verfahrens zur Reaktion auf Vorfälle zur Verwaltung potenzieller Datenschutzverletzungen

Kernanforderung 7.(b)(6) fordert ein Verfahren zur Reaktion auf Vorfälle, um potenzielle Daten- oder Sicherheitsverletzungen zu verwalten. Dieses Verfahren sollte den Prozess für zwei spezifische Aktionen umfassen, um:

• Untersuchen Sie potenzielle Daten- oder Sicherheitsverletzungen; und
• Benachrichtigen Sie betroffene Lieferanten, Justizbehörden und andere interessierte Parteien wie gesetzlich vorgeschrieben über potenzielle oder tatsächliche Verstöße.

Es ist wichtig, diesen Prozess gut durchdacht zu haben, bevor ein Vorfall stattfindet. Best Practice für dieses Verfahren wäre es, alle Maßnahmen, die stattfinden müssen, um auf einen potenziellen Verstoß zu reagieren, klar zu dokumentieren und festzulegen, wer für die Durchführung der einzelnen Maßnahmen verantwortlich ist und wann sie eingeleitet werden müssen. Zu den vorgeschlagenen Maßnahmen, die in diesem Plan berücksichtigt werden sollten, gehören:

• Wer ist für die Untersuchung potenzieller Daten- oder Sicherheitsverletzungen verantwortlich?
• Wie wird eine Untersuchung potenzieller Verstöße physische oder betriebliche Schwachstellen, den Status der Anlagensicherheit und den Hintergrund und die Schulung aller Mitarbeiter umfassen, die mit datentragenden Geräten in Kontakt kommen oder für die Anlagensicherheit verantwortlich sind?
• Welche Methoden wird eine R2-Einrichtung verwenden, um Informationen über eine Daten- oder Sicherheitsverletzung zu sammeln, falls eine auftreten sollte? Gibt es angemessene Testprotokolle, Geräteverfolgungsaufzeichnungen, Anlagensicherheitsprotokolle, Besucherprotokolle oder Videoaufzeichnungen?
• Wer in der R2-Einrichtung bestätigt die Tatsache, dass eine Daten- oder Sicherheitsverletzung aufgetreten ist (oder dass potenzielle Bedingungen dafür vorliegen) und dass das Verfahren zur Reaktion auf Vorfälle befolgt werden sollte?
• Gibt es eine Liste von Lieferanten, Justizbehörden oder anderen interessierten Parteien, die im Falle einer Daten- oder Sicherheitsverletzung benachrichtigt werden sollten? Ist es für den zuständigen Manager, der für diese Benachrichtigung verantwortlich ist, rund um die Uhr verfügbar?
• Welche Aufzeichnungen sind über jeden Vorfall aufzubewahren, bei dem dieses Verfahren angewendet wurde, einschließlich der Dokumentation aller Mitteilungen im Zusammenhang mit dem Vorfall?
• Welcher Prozess ist vorhanden, um alle Korrekturmaßnahmen einzuleiten und abzuschließen, um ein erneutes Auftreten der Bedingungen zu verhindern, die den Vorfall verursacht haben?

Ein detailliertes und gut geplantes Verfahren zur Reaktion auf Vorfälle kann ein wirksames Instrument sein, um nicht nur den Reaktionsprozess zu steuern und die Situation zu entschärfen, sondern es kann auch ein guter Beweis dafür sein, wie gut Ihre Einrichtung auf solche Situationen vorbereitet ist.