hotline

Adatvédelmi incidens kezelése

Az adatvédelmi incidensek sokszínűsége, az érintett szervezetek mérete, komplexitása valamint az érintett magánszemélyek száma miatt az incidensek kezelése nagyon nagy mértékben eltérhet. Ráadásul nem próbálkozhatunk azzal sem, hogy a teljes incidenskezelés folyamatát itt és most néhány sorban leírjuk (főleg nem annak minden GDPR aspektusát), csak néhány „ökölszabályt” próbálunk meg igen röviden összefoglalni.

A folyamat részleteit egy jól átgondolt incidenskezelési terv, vagy legalább a katasztrófaelhárítási terv kellene, hogy tartalmazza. Az ilyen terveket időben, nyugodt körülmények között kell elkészíteni és a szervezet vezetőivel jóváhagyatni.
A kapcsolódó forgatókönyvek, eljárási rendek, munkautasításoka, ahol leírják a szükséges lépéseket, teendőket, felelősöket, csökkentik az incidensek káros hatását.
Az elfogadott terveket oktatni kell minden érintettel, benne a vezetőkkel, hogy felkészülten érje őket egy esetleges biztonsági esemény.
Mint minden ilyen tervet, az incidenskezelést is gyakorolni kell! A tesztek eredményei alapján javítani, finomítani. A tesztelések közben persze az érintett kollégák (vezetők, informatikusok, ügyfélszolgálat, stb.), is rutint szereznek, tehát a valós esemény bekövetkeztekor sokkal gyakorlottabb módon tudnak reagálni.

Ha már megtörtént a baj (adatkezelési incidens), annak azonosítása és minősítése, ha a műszaki kollégák elkezdték a hiba elhárítását, kármentesítést, a további károk bekövetkezésének megakadályozását, akkor -de még mindig elég gyorsan – jelezni kell a történteket az érintettek felé.

Az adatvédelmi incidenskezelés kommunikációjának legfontosabb jellemzői:

• Ha tudomásukra jutott egy kritikus esemény: gyors, pontos és határozott üzenetet kell kiadni. Ne próbáljunk meg mellébeszélni, ne a saját érdekeinket nézzük. Itt is: első az ügyfél! Ekkor még használni lehet a „mi is áldozatul estünk” szimpátia-bónuszokat.

• Legyen világos terv és erőforrás az ügyfelekkel való kommunikációra és az átadott információk folyamatos frissítésére. Mi történt, mi várható, mennyiben érinti az ügyfeleket, mit teszünk most, milyen kártérítést tervezünk adni az érintettek számára.

• Legyenek biztosak abban, hogy a réseket betömték! Az ilyen támadások, adatlopások általában hullámokban jönnek. Ha nem zárunk el minden csapot, az adatok később is kikerülhetnek és az már végzetes is lehet. Nagy valószínűséggel szükség lesz külső szakemberekre is, hiszen ha incidens történt, akkor a rendszert addig működtető informatikusok valószínűleg hibáztak…

Egy publikus nyilatkozatsor-minta:

– Kapcsolatba léptünk az érintett ügyfelekkel, mihelyt információt szereztünk az eseményről, és folyamatosan tájékoztattuk őket a helyzetről.
– A fertőzött gépet/rendszert azonnal elkülönítettük.
– A fertőzött gépről lementettünk minden adatot az igazságügyi és bűnügyi elemzésekhez.
– Letiltottuk az áldozat(ok) hozzáférését és fiókjait.
– Az érintett gépekről és gépekre küldött minden anyagot vizsgálunk és elemezünk.
– Megvizsgáltuk az érintettek céges, többfaktorosan és harmadik fél által hitelesített fiókjainak hitelesítését és hozzáférési tevékenységét.
– Szorosan együttműködünk az érintett ügyfelekkel, személyes online fiókjaiknak biztosításához, beleértve a több faktoros hitelesítést is.
– Szóban és írásban is kommunikáltunk minden alkalmazottunkkal, hogy legyenek még éberebbek és segítséget kaptak a személyes fiókjaik/hozzáférésük jobb biztosításához.
– Az érintettekkel és külső szakértővel közösen dolgozunk a naplózott adatok begyűjtésében és elemzésében, amelyek segítséget nyújthatnak a nyomozásban.
– Megtettük a megfelelő jogi és bűnügyi lépéseket.

Ja, és a GDPR rendelet 33. cikkének megfelelően: „Az adatvédelmi incidenst az adatkezelő … legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az … illetékes felügyeleti hatóságnak.”