ISO 27701
Overwegingen
(75) Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.
(85) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit onverwijld en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en kan de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt.
(87) Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit en de betrokkene daarvan onverwijld in kennis te stellen. Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene. Die kennisgeving kan ertoe leiden dat de toezichthoudende autoriteit optreedt overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden.
(88) Bij de vaststelling van gedetailleerde regels betreffende de methode en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van die inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet waren beschermd door adequate technische maatregelen die de kans op identiteitsfraude of andere vormen van misbruik beperkten. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten wanneer vroegtijdige bekendmaking het onderzoek naar de omstandigheden van een inbreuk in verband met persoonsgegevens nodeloos zou hinderen.
Richtlijnen & Case Law
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 33 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
(EN) […]
(EN) Sign in
to read the full text