Musterbrief datenschutzverletzung

Die meisten Staaten haben Verletzungsbenachrichtigungsgesetze, die Ihnen sagen, welche Informationen Sie in Ihrer Verletzungsmitteilung angeben müssen oder dürfen. Im Allgemeinen, wenn Ihr Staatliches Gesetz nichts anderes sagt, sollten Sie folgendes tun: Sobald Sie festgestellt haben, dass eine Datenschutzverletzung aufgetreten ist, müssen Sie schnell handeln. Es ist wichtig, über robuste interne Verfahren zu verfügen, damit jeder in Ihrem Unternehmen weiß, was zu tun ist. Einhaltung der FtC Health Breach Notification Rule:ftc.gov/healthbreachnotificationrule Arbeiten Sie mit Ihren Forensik-Experten. Finden Sie heraus, ob Maßnahmen wie Verschlüsselung aktiviert wurden, als die Verletzung aufgetreten ist. Analysieren Sie Backup- oder beibehaltene Daten. Überprüfen Sie Protokolle, um festzustellen, wer zum Zeitpunkt der Verletzung Zugriff auf die Daten hatte. Analysieren Sie außerdem, wer derzeit Zugriff hat, ermitteln Sie, ob dieser Zugriff erforderlich ist, und beschränken Sie den Zugriff, falls dies nicht der Fall ist. Überprüfen Sie, welche Arten von Informationen kompromittiert wurden, wie viele Betroffene betroffen sind und ob Sie über Kontaktinformationen für diese Personen verfügen. Wenn Sie die forensischen Berichte erhalten, ergreifen Sie die empfohlenen Abhilfemaßnahmen so schnell wie möglich. Artikel 33 verpflichtet Sie, im Falle eines Verstoßes bestimmte Informationen an eine Datenschutzbehörde zu übermitteln.

Es ist jedoch wichtig zu beachten, dass einige Datenschutzbehörden zusätzliche Informationen erfordern. Einige Datenschutzbehörden bevorzugen auch, dass Sie ein bestimmtes Formular auf ihrer Website verwenden. Sie müssen sich von Ihrem Datenschutzbeauftragten genau beraten lassen (falls Sie einen haben) und bei der Benachrichtigung Ihrer Datenschutzbehörde eine Rechtsberatung in Betracht ziehen. Wenn Sie festgestellt haben, dass Sie auch die Personen, deren Daten kompromittiert wurden, benachrichtigen müssen, verlangt Artikel 34, dass Sie „klare und klare Sprache“ verwenden und bestimmte Informationen einschließen. Die EU-Agentur für Netz- und Informationssicherheit schlägt vor, die folgenden Kriterien zu verwenden, um die Schwere des Verstoßes zu bewerten: Beachten Sie, dass die Sprache offen und direkt ist, und gehen Sie auf den Punkt. Das Unternehmen geht vom Standpunkt der Ehrlichkeit an den Verbraucher heran und beabsichtigt, die Bedenken des Unternehmens zu vermitteln. Die Art der Datenschutzverletzung wird in einem kurzen Absatz beschrieben. LinkedIn beschreibt dann die Maßnahmen, die es ergreift, und erwähnt Möglichkeiten, wie Benutzer ihre Konten vor zukünftigen Datenschutzbedrohungen schützen können. Damit werden die FTC-Anforderungen erfüllt. In diesem Handbuch werden die Schritte behandelt, die nach einem Verstoß ausgeführt werden müssen. Informationen zur Umsetzung eines Plans zum Schutz der personenbezogenen Daten der Verbraucher, zur Verhinderung von Verletzungen und unbefugtem Zugriff finden Sie im FTC-Schutz personenbezogener Daten: A Guide for Business and Start with Security: A Guide for Business.

In allen Fällen ist die E-Mail einfach, kurz und die verwendete Sprache ist klar. In Übereinstimmung mit den geteilten Beispielen können Sie diese Vorlage in einer unglücklichen Datenschutzverletzung für Ihre Benachrichtigungs-E-Mail verwenden: Beschreiben Sie zunächst die Art der Verletzung personenbezogener Daten, die aufgetreten ist. Offenlegen Sie, wie es zu dem Verstoß gekommen ist, sowie die folgenden Punkte in Bezug auf die betroffenen Personen: Sie müssen Ihre Datenschutzbehörde immer über einen schwerwiegenden Verstoß informieren. Sie müssen auch die relevanten Personen über einen sehr schwerwiegenden Verstoß informieren. Wenn Sie personenbezogene Daten im Namen anderer Unternehmen sammeln oder speichern, informieren Sie diese über die Datenschutzverletzung. Wenn Namen und Sozialversicherungsnummern gestohlen wurden, wenden Sie sich an die großen Kreditbüros, um weitere Informationen oder Ratschläge zu erhalten. Wenn der Kompromiss eine große Gruppe von Personen betreffen kann, informieren Sie die Kreditbüros, wenn Sie empfehlen, dass die Leute Betrugswarnungen und Kreditsperren für ihre Dateien anfordern. Ihre Datenschutzverletzungsrichtlinie kann angeben, welche Informationen im Falle einer Verletzung weitergegeben werden müssen, aber es ist wichtig, diese Anforderungen nicht zu belastend zu machen – die Zeit ist von entscheidender Bedeutung. Im Folgenden werden wir über obligatorische Informationen gehen, die in einem Benachrichtigungsschreiben zur Meldung von Datenschutzverletzungen an datenschutzbehörden enthalten sein müssen. Superdrugs könnte eine Betreffzeile oder einen Header in Betracht ziehen, die spezifischer für die Verletzung sind und nicht wiederholt werden („Sicherheitshinweis“), um Kunden einfach mehr Informationen auf einen Blick zu geben.