What is the GDPR 72-hour breach notification rule?

Under GDPR Article 33, organizations must notify their supervisory authority within 72 hours of becoming aware of a personal data breach, unless the breach is unlikely to result in a risk to individuals. The notification must include the nature of the breach, approximate number of affected individuals, likely consequences, and measures taken. British Airways was fined GBP 20M partly for delayed and inadequate breach response.

When does a data breach require notifying individuals under GDPR?

Article 34 requires organizations to notify affected individuals when a breach is likely to result in a high risk to their rights and freedoms. High risk typically involves sensitive data categories, large volumes of records, or data that could lead to identity theft or financial loss. If the organization has applied encryption or other measures that render the data unintelligible, individual notification may not be required.

Reactie op gegevensinbreuk

Triage a breach and meet the 72-hour notification clock.

Wat is Reactie op gegevensinbreuk?

AVG-datalekrespons is het verplichte proces van het detecteren, beoordelen en melden van datalekken van persoonsgegevens binnen het 72-uurs meldingsvenster zoals vastgelegd in artikel 33 van de verordening. Het niet op tijd melden kan resulteren in boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet. Deze oefening plaatst u in de eerste uren nadat uw organisatie ontdekt dat persoonsgegevens mogelijk zijn gecompromitteerd. U begint met het triageren van het incident: vaststellen hoeveel records getroffen zijn, welke categorieën persoonsgegevens betrokken zijn en of het lek een risico vormt voor de rechten en vrijheden van betrokkenen. Vervolgens stelt u de melding aan uw toezichthoudende autoriteit op, die de aard van het lek moet bevatten, het geschatte aantal getroffen betrokkenen, de waarschijnlijke gevolgen en de genomen maatregelen om het te verhelpen. De oefening behandelt ook wanneer en hoe u getroffen personen direct moet informeren, wat verplicht wordt wanneer het lek waarschijnlijk een hoog risico oplevert voor hun rechten. U oefent de moeilijke beoordelingen die bepalen of een incident kwalificeert als een meldingsplichtig lek of onder de drempel valt. Echte handhavingsacties, waaronder de boete van GBP 20 miljoen aan British Airways wegens vertraagde respons, illustreren waarom snelheid en nauwkeurigheid cruciaal zijn in die eerste kritieke uren.

Wat je leert in Reactie op gegevensinbreuk

De ernst van een lek beoordelen door gegevenscategorieën, volume van getroffen records en risico voor betrokkenen te classificeren
Een melding aan de toezichthoudende autoriteit opstellen die alle elementen bevat die vereist zijn door AVG-artikel 33(3)
Bepalen of een lek de "hoog risico"-drempel bereikt die directe melding aan getroffen betrokkenen vereist
De interne responstijdlijn coördineren om de 72-uurs meldingsdeadline te halen vanaf het moment van bewustwording
Beslissingen en overwegingen tijdens de datalekrespons documenteren om verantwoording aan te tonen bij toezichthouderonderzoek

Reactie op gegevensinbreuk — Trainingsstappen

Introductie

De training van vandaag leert u over de vereisten voor het melden van datalekken in de AVG - een van de meest kritische nalevingsverplichtingen die elke organisatie die met persoonlijke gegevens omgaat, moet begrijpen.
Routinematige gegevensexport

Alice bereidt een routinematige export van klantgegevens voor voor VendorPartner Inc., een legitieme externe integratiepartner. De spreadsheet bevat 847 klantrecords, waaronder namen, e-mailadressen, telefoonnummers en postadressen. Dit is een standaard wekelijkse taak die Alice al tientallen keren eerder heeft gedaan. Ze opent haar e-mailclient om het bestand naar John Smith bij VendorPartner te sturen.
De fout

Alice is klaar met het typen van de e-mail en drukt op verzenden. Een paar seconden later kijkt ze naar de map 'Verzonden' en merkt dat er iets mis is. De e-mail werd verzonden naar john.smith847@gmail.com in plaats van naar het juiste adres: john.smith@vendorpartner.com - de automatische aanvulling suggereerde een soortgelijk uitziend persoonlijk Gmail-adres, en Alice klikte erop zonder zorgvuldig te controleren. 847 klantgegevens zijn nu in handen van een onbekende persoon.
De cruciale beslissing

Alice's hart zinkt. Haar eerste instinct is om te hopen dat niemand het merkt; misschien zal de ontvanger het gewoon verwijderen? Misschien kan ze doen alsof het nooit is gebeurd? Maar Alice herinnert zich haar AVG-training. Onder een datalek wordt verstaan 'het per ongeluk of onrechtmatig openbaar maken van persoonsgegevens.' Het verzenden van klantgegevens naar het verkeerde e-mailadres komt duidelijk in aanmerking. Op grond van artikel 33 van de AVG heeft haar bedrijf precies 72 uur vanaf het ‘op de hoogte’ zijn van de inbreuk om de toezichthoudende autoriteit op de hoogte te stellen. De klok begint nu, niet wanneer het onderzoek is afgelopen.
Toegang tot het Incidentportaal

Alice besluit het juiste te doen en het incident onmiddellijk te melden. Ze opent het interne incidentrapportagesysteem van het bedrijf. DataGuard Solutions heeft een speciaal portaal voor het melden van inbreuken dat rechtstreeks verbinding maakt met de Data Protection Officer (DPO) en het incidentresponsteam.
Het indienen van het inbreukrapport

Alice vult het incidentrapportageformulier in met volledige details over de verkeerd geadresseerde e-mail. Grondig en eerlijk zijn is essentieel: de DPO heeft nauwkeurige informatie nodig om de ernst van de inbreuk te beoordelen en de meldingsvereisten te bepalen.
DPO-reactie

Binnen enkele minuten na het indienen van de melding krijgt Alice een telefoontje van Dr. Sarah Chen, de functionaris voor gegevensbescherming van het bedrijf. Dr. Chen bedankt Alice voor het onmiddellijk melden en legt uit hoe het beoordelingsproces voor inbreuken werkt onder de AVG.
De 72-uurregel begrijpen

Dr. Chen legt de belangrijkste AVG-vereisten uit: Artikel 33 : Verwerkingsverantwoordelijken moeten de toezichthoudende autoriteit binnen 72 uur nadat zij zich 'bewust' zijn geworden van een inbreuk op de hoogte stellen De klok begon te lopen toen Alice besefte dat de e-mail naar het verkeerde adres was gegaan - niet wanneer het onderzoek is afgerond Weekends en feestdagen verlengen de deadline niet Het niet melden kan resulteren in boetes tot 10 miljoen euro of 2% van het wereldwijde jaarlijkse bedrag inkomsten De DPO zal nu beoordelen of deze inbreuk 'waarschijnlijk zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen'. Als dat het geval is, is melding aan de autoriteit verplicht.
Insluitingsacties

Het incidentresponsteam is begonnen met inperkingsmaatregelen: Er is geprobeerd e-mail terug te halen via de mailserver IT-beveiliging analyseert serverlogboeken Het juridische team is op de hoogte gebracht Er is contact opgenomen met de onbekende Gmail-ontvanger met het verzoek om verwijdering Dr. Chen legt uit dat zelfs met inperkingsinspanningen de inbreuk nog steeds moet worden gedocumenteerd en mogelijk gerapporteerd. De belangrijkste vraag is of de inbreuk een risico vormt voor de getroffen personen.
Documenteren van het incident

Zelfs als kennisgeving aan de toezichthoudende autoriteit niet vereist is, schrijft de AVG voor dat alle inbreuken intern moeten worden gedocumenteerd. Alice wordt gevraagd aanvullende documentatie over het incident te verstrekken, inclusief de exacte tijdlijn en al het bewijsmateriaal dat ze heeft.

Wat is Reactie op gegevensinbreuk?

Wat je leert in Reactie op gegevensinbreuk

Reactie op gegevensinbreuk — Trainingsstappen

Introductie

Routinematige gegevensexport

De fout

De cruciale beslissing

Toegang tot het Incidentportaal

Het indienen van het inbreukrapport

DPO-reactie

De 72-uurregel begrijpen

Insluitingsacties

Documenteren van het incident