Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen

Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen

November 20, 2021                                 

a) Hintergrund

My Eco Best Friend als für die Datenverarbeitung Verantwortlicher und die entsprechenden beauftragten Datenverarbeiter unterliegen den Bestimmungen der Allgemeinen Datenschutzverordnung 2016/679 (GDPR) und müssen bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten und sensibler personenbezogener Daten, die von Mitarbeitern, Verkäufern, Kunden und der Öffentlichkeit zur Verfügung gestellt werden, die erforderliche Sorgfalt walten lassen. Der Schutz solcher Informationen und die Verhinderung ihrer Verletzung ist von wesentlicher Bedeutung, um sicherzustellen, dass My Eco Best Friend das Vertrauen der oben genannten betroffenen Personen behält. My Eco Best Friend unternimmt daher alle angemessenen Anstrengungen, um die unter der Kontrolle von My Eco Best Friend stehenden Daten vor unbefugtem Zugriff, Verwendung, Offenlegung, Löschung, Zerstörung, Beschädigung oder Entfernung zu schützen. Obwohl alle Anstrengungen unternommen werden, um Einrichtungen, Geräte, Ressourcen und Daten zu schützen, lassen sich manche Krisen kaum vermeiden. Verstöße gegen die Datensicherheit treten immer häufiger auf, unabhängig davon, ob sie durch menschliches Versagen oder durch böswillige Absicht verursacht werden. My Eco Best Friend muss daher über ein robustes und systematisches Verfahren verfügen, um auf alle gemeldeten Sicherheitsvorfälle zu reagieren und seine Informationswerte so weit wie möglich zu schützen. Daher wird in dieser Richtlinie ein Verfahren festgelegt, das anzuwenden ist, wenn die geltenden Sicherheitsverfahren einen Verstoß nicht verhindern können. Ziel dieser Richtlinie ist es, die gruppenweite Reaktion auf gemeldete Sicherheitsvorfälle zu standardisieren und sicherzustellen, dass diese angemessen protokolliert und gemäß den Best-Practice-Richtlinien gehandhabt werden. Durch einen standardisierten, einheitlichen Ansatz für alle gemeldeten Vorfälle soll sichergestellt werden, dass: Vorfälle rechtzeitig gemeldet werden und ordnungsgemäß bearbeitet werden können,Vorfälle auf allen Ebenen vertraulich behandelt werden (relevante Interessengruppen werden nach Ermessen der leitenden Ermittler informiert). die entsprechenden Managementebenen an der Reaktion beteiligt werden Vorfälle aufgezeichnet und dokumentiert werden die Auswirkungen der Vorfälle verstanden werden und Maßnahmen ergriffen werden, um weitere Vorfälle zu verhindern Beweise gesammelt, aufgezeichnet und in einer Form aufbewahrt werden, die einer internen und externen Prüfung standhält Externe Stellen oder Betroffene werden bei Bedarf informiert. Vorfälle zeitnah behandelt werden und der normale Betrieb rasch wieder aufgenommen wird Vorfälle werden überprüft, um Verbesserungen in den Strategien zu ermitteln. Dazu gehören der Verlust der Kontrolle, die Kompromittierung, die unbefugte Weitergabe oder der unbefugte Zugang oder potenzielle Zugang zu personenbezogenen Daten, unabhängig davon, ob sie in physischer (Papier-) oder elektronischer Form vorliegen. Eine Verletzung der Datensicherheit kann aus einer Reihe von Gründen geschehen, darunter: Verlust, Änderung oder Diebstahl von Daten oder Geräten, auf denen Daten gespeichert sind (einschließlich Einbruch in unsere Geschäftsräume) unangemessener/unbefugter Zugriff auf vertrauliche oder streng vertrauliche Daten Ausfall von Geräten menschliches Versagen, einschließlich unbeabsichtigter Offenlegungen, mangelnder Sorgfalt und/oder Missbrauch von technischen Ressourcen unvorhergesehene Umstände wie Überschwemmungen oder Brände ein Hackerangriff Zugang, bei dem Informationen durch Täuschung der Organisation, die sie besitzt, erlangt werden Für die Zwecke dieser Richtlinie werden diese Gründe als ",Diese gruppenweite Richtlinie gilt für alle Mitarbeiter von My Eco Best Friend. Diese Richtlinie ist unter www.myecobestfriend.com abrufbar und wird dem Personal bei der Einarbeitung und bei den regelmäßigen Mitarbeiterschulungen mitgeteilt. My Eco Best Friend erwartet, dass alle Auftragnehmer von My Eco Best Friend, Lieferanten oder andere Parteien, die im Namen von My Eco Best Friend handeln (zusammenfassend "externe Parteien"), die personenbezogene Daten sammeln oder verwalten, diese Richtlinie befolgen, unabhängig davon, ob sie die Systeme und Datenverwaltungsprogramme von My Eco Best Friend und/oder ihre eigenen Systeme nutzen. Die Mitarbeiter von My Eco Best Friend sind dafür verantwortlich, dass alle Externen, mit denen sie zur Unterstützung des Betriebs von My Eco Best Friend zusammenarbeiten, diese Richtlinie einhalten. Die Mitarbeiter sind dafür verantwortlich, dass in allen Einrichtungen und Ressourcen, die ihrer Kontrolle unterstehen, ein angemessener und ausreichender Schutz und angemessene Kontrollen vorhanden sind und angewendet werden und dass diejenigen, die dies nicht tun, identifiziert werden. Die Führungskräfte sind dafür verantwortlich, dass die Mitarbeiter in ihrem Bereich diese Richtlinie befolgen und alle damit verbundenen Verfahren einhalten. Der behördliche Datenschutzbeauftragte (DSB) ist für die Überwachung des Umgangs mit Verstößen zuständig. Gaëtan Bio Chemin du Creux-Bechet, 6, 1096, Villette (Schweiz) T: +41 (0)79 847 91 55,Falls ein Mitarbeiter feststellt oder vermutet, dass personenbezogene Daten aus einem anderen Grund als einem IT-Sicherheitsvorfall kompromittiert wurden (z. B. durch den Verlust eines tragbaren Geräts, falsche Adressierung von Etiketten, sensible Informationen, die an einem Ort hinterlassen wurden, an dem sie von Unbefugten eingesehen werden können - z. B. Fotokopien, die nicht ordnungsgemäß entsorgt oder auf dem Kopierer belassen wurden), muss er unverzüglich seinen Vorgesetzten informieren. Bei einem potenziellen Interessenkonflikt oder aus anderen Gründen kann eine solche Meldung im Interesse der Vertraulichkeit direkt an den DSB erfolgen. In beiden Fällen kann der Mitarbeiter, der den Sicherheitsvorfall meldet, gebeten werden, den Bericht über die Verletzung der Datensicherheit auszufüllen (siehe Anhang 1). Verstöße gegen die Datensicherheit sollten sofort nach Bekanntwerden eines solchen Verstoßes eingedämmt und behoben werden. Die Mitarbeiter und/oder die IT-Sicherheitsabteilung werden versuchen, die Angelegenheit einzudämmen und jede weitere Gefährdung der gespeicherten personenbezogenen Daten zu minimieren, wobei sie die Ratschläge "Incident Response DOs and DON'Ts for IT systems" (Reaktion auf Vorfälle: DOs und DON'Ts für IT-Systeme) berücksichtigen, die unter folgender Adresse zu finden sind: Parallel zu/nach der sofortigen Eindämmung müssen die Risiken bewertet werden, die mit der Sicherheitsverletzung verbunden sein können, sowie die potenziellen nachteiligen Folgen für die betroffenen Personen und für My Eco Best Friend selbst. Sind die betreffenden Daten durch technische Maßnahmen geschützt, die sie für Personen, die nicht zum Zugriff auf sie berechtigt sind, unverständlich machen, kann My Eco Best Friend zu dem Schluss kommen, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den DSB zu informieren. Eine solche Schlussfolgerung wäre jedoch nur dann gerechtfertigt, wenn die technischen Maßnahmen (wie z. B. die Verschlüsselung) einen hohen Standard aufweisen. Darüber hinaus muss jeder Sicherheitsvorfall, der mehr als 100 betroffene Personen betrifft oder sensible personenbezogene Daten oder personenbezogene Daten finanzieller Art umfasst, immer an den DSB weitergeleitet werden. Erfolgt keine Meldung an den behördlichen Datenschutzbeauftragten, muss My Eco Best Friend eine Zusammenfassung des Sicherheitsvorfalls aufbewahren, da alle Datensicherheitsvorfälle zentral im IT-Service-Management-System (ITSM-System) protokolliert werden müssen, um eine angemessene Übersicht über die Art und Häufigkeit der Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten. Sofern My Eco Best Friend nicht zu dem Schluss kommt, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den behördlichen Datenschutzbeauftragten zu informieren, wird dieser unverzüglich vom IT-Sicherheitsteam (gegebenenfalls dem Informations- und Sicherheitsbeauftragten (CISO)) informiert, um ein kleines Team von Personen zusammenzustellen, das die potenzielle Gefährdung/den potenziellen Verlust bewertet. Dieses Team unterstützt den CISO, den DSB (und gegebenenfalls den Manager) bei den praktischen Fragen im Zusammenhang mit dieser Strategie und den Verfahren. Die Maßnahmen werden gemäß den Anweisungen/Beratungen des speziellen Teams durchgeführt. Jedem Teammitglied steht ein Ersatzmitglied zur Seite, um Urlaub, Krankheitsurlaub usw. abzudecken. Während der Untersuchung sollte das Team versuchen, Informationen zu sammeln, die für die Beurteilung der Frage nützlich sind, ob My Eco Best Friend verpflichtet ist, Aufsichtsbehörden und betroffene Personen zu informieren. Da der Auslöser für die 72-Stunden-Frist für die Benachrichtigung der Aufsichtsbehörden im Wesentlichen rechtlicher Natur ist, sollten Anwälte und andere für die Einhaltung der Vorschriften zuständige Mitarbeiter die endgültige Entscheidung darüber treffen, ob ein Vorfall eine Verletzung des Schutzes personenbezogener Daten darstellt, die eine Benachrichtigung der Aufsichtsbehörden erfordert. Die Benachrichtigung muss Folgendes enthalten: (1) Art, Ausmaß und Auswirkungen der Verletzung; (2) möglicherweise betroffene personenbezogene Daten; (3) Maßnahmen, die zur Behebung der Verletzung ergriffen wurden; (4) Angaben zum Datenschutzbeauftragten oder zur vom Datenschutzbeauftragten benannten Kontaktperson, die zusätzliche Informationen bereitstellen kann; und (5) jegliche Unterstützung, die der betroffenen Person gewährt wird. Das Team muss insbesondere: Kontaktaufnahme mit den betroffenen Personen (per Telefon/E-Mail usw.), um ihnen mitzuteilen, dass eine unbefugte Weitergabe/Verlust/Zerstörung oder Veränderung ihrer personenbezogenen Daten stattgefunden hat Wenn möglich und so schnell wie möglich sollten die Betroffenen (d.h. die Personen, auf die sich die Daten beziehen) darüber informiert werden: die Art der Daten, die möglicherweise offengelegt/geschädigt wurden; den Grad der Sensibilität dieser Daten, und einen Überblick über die Schritte, die My Eco Best Friend zur Eindämmung oder Behebung des Problems zu unternehmen gedenkt Die betroffenen Personen sollten darüber informiert werden, ob My Eco Best Friend beabsichtigt, andere Aufsichtsbehörden zu kontaktieren. Schließlich sollten Einzelpersonen spezifische und klare Ratschläge darüber erhalten, welche Schritte sie unternehmen können, um sich zu schützen, und was My Eco Best Friend tun kann, um sie zu unterstützen. Die Sicherheit des Mediums, das für die Benachrichtigung von Personen über einen Verstoß verwendet wird, und die Dringlichkeit der Situation sollten berücksichtigt werden. Anfragen der Medien über den Verstoß werden immer vom Leiter der Kommunikationsabteilung bearbeitet. My Eco Best Friend prüft auch, ob Polizei, Versicherungen, Datenverarbeiter oder z. B. Banken benachrichtigt werden sollten. Es ist wichtig, dass alle Sicherheitsvorfälle und tatsächlichen Datenschutzverletzungen dokumentiert und untersucht werden und dass die Reaktion auf die Verletzung hinsichtlich ihrer Wirksamkeit bewertet wird. Alle Verletzungen der Datensicherheit werden daher zentral im ITSM-System protokolliert, um eine angemessene Übersicht über die Art und Häufigkeit der bestätigten Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten[1], es sei denn, die Aufsichtsbehörden haben eine Verzögerung zu Untersuchungszwecken verlangt. Erhält My Eco Best Friend eine solche Anweisung von den Aufsichtsbehörden, sollte es sorgfältige Notizen über die erhaltenen Hinweise machen (einschließlich Datum und Uhrzeit des Gesprächs sowie Name und Rang der Person, mit der es gesprochen hat). Wenn möglich, sollte My Eco Best Friend darum bitten, die Anweisungen schriftlich auf Briefpapier von den Aufsichtsbehörden zu erhalten, oder, wenn dies nicht möglich ist, sollte My Eco Best Friend an die zuständige Strafverfolgungsbehörde schreiben, dass "...". Es sollte eine vollständige Überprüfung vorgenommen werden. Das Personal sollte über alle Änderungen an dieser Politik und über verbesserte Sicherheitsmaßnahmen informiert werden. Das Personal sollte erforderlichenfalls eine Auffrischungsschulung erhalten.,- Unfall oder Versehen, - Technischer Fehler, - Vorsätzlicher Diebstahl oder Fehlverhalten, - Unbefugtes Browsen, - Sonstiges (beschreiben), - Unbekannt,- Öffentliche Daten - Interne Daten - Persönliche Daten - Sensible Daten,- Identitätsdiebstahl - Körperlicher Schaden - Verletzung, Demütigung, Rufschädigung - Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten - Verstoß gegen vertragliche Verpflichtungen, sofortige Isolierung des betroffenen Systems, um weiteres Eindringen, die Freigabe von Daten, Schäden usw. zu verhindern. das Telefon benutzen, da der Angreifer in der Lage sein könnte, den E-Mail-Verkehr zu überwachen alle sachdienlichen Protokolle aufbewahren, z. B. Firewall, Router und Eindringungserkennungssystem Erstellen Sie Sicherungskopien von beschädigten oder geänderten Dateien und bewahren Sie diese Sicherungen an einem sicheren Ort auf. Feststellung, wo sich das betroffene System innerhalb der Netzwerktopologie befindet alle Systeme und Agenturen zu identifizieren, die mit dem betroffenen System verbunden sind Ermittlung der Programme und Prozesse, die auf dem/den betroffenen System(en) laufen, der Auswirkungen der Unterbrechung und der maximal zulässigen Ausfallzeit für den Fall, dass das betroffene System als Beweismittel erfasst wird, Vorkehrungen für die Kontinuität der Dienste zu treffen, d. h. ein redundantes System vorzubereiten und Datensicherungen zu beschaffen, das Problem mit anderen Personen als Ihrem direkten Vorgesetzten und den in Abschnitt 3 aufgeführten Empfängern zu kommunizieren Dateien auf den betroffenen Systemen zu löschen, zu verschieben oder zu verändern Kontaktaufnahme mit dem mutmaßlichen Verursacher Durchführung einer forensischen Analyse,Daten wurden angemessen verschlüsselt Das tragbare Speichermedium wurde aus der Ferne gelöscht und es gibt Hinweise darauf, dass vor dem Löschen kein Zugriff auf das Gerät erfolgte. Die Dateien oder das Gerät wurden fast sofort wiederhergestellt und alle Dateien scheinen intakt und/oder ungelesen zu sein,Das tragbare Speichermedium wurde innerhalb von Stunden nach dem Verlust aus der Ferne gelöscht, aber es gibt keine Beweise dafür, dass vor dem Löschen kein Zugriff auf das Gerät erfolgte Hardcopy-Dateien oder -Geräte wurden wiederhergestellt, aber zwischen dem Verlust und der Wiederherstellung ist so viel Zeit vergangen, dass ein Zugriff auf die Daten möglich war. Daten, Dateien oder das Gerät wurden nicht wiederhergestellt Daten, bei denen die Gefahr einer weiteren Veröffentlichung besteht, insbesondere durch Massenmedien oder online,Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten, Verletzung, Demütigung, Schädigung des Rufs oder von Beziehungen, sozialer/relationaler Schaden Verlust des Vertrauens in My Eco Best Friend Verlust von Vermögenswerten, Verträgen oder Geschäften von My Eco Best Friend Finanzielles Risiko, Sicherheitsrisiko (z. B. physische Sicherheit), Identitätsdiebstahl oder Betrugsrisiko Verletzung, Demütigung, Rufschädigung können je nach den Umständen ebenfalls ein hohes Risiko darstellen Vorfälle von entsprechend befugtem und qualifiziertem Personal bearbeitet werden incidents are kept confidential at all levels (relevant stakeholders will be kept informed at the discretion of the lead investigators). appropriate levels of management are involved in the response incidents are recorded and documented the impact of the incidents is understood, and action is taken to prevent further occurrences evidence is gathered, recorded, and maintained in a form that will withstand internal and external scrutiny external bodies or data subjects are informed as required incidents are dealt with in a timely manner and normal operations resumed swiftly incidents are reviewed to identify improvements in policies

b) Definition

Für die Zwecke dieser Police bezeichnet der Begriff "Datenschutzverletzung" includes the loss of control, compromise, unauthorized disclosure or unauthorized access or potential access to personally identifiable information, whether in physical (paper) or electronic form. A data security breach can happen for a number of reasons, including: Loss, alteration or theft of data or equipment on which data is stored (including break‐in to any of our premises) inappropriate/unauthorized access to confidential or highly confidential data equipment failure human error, including unintentional disclosures, lack of diligence and/or misuse of technological resources unforeseen circumstances such as flood or fire a hacking attacks access where information is obtained by deceiving the organization that holds it For the purpose of this policy these reasons will be referred to as “Sicherheitsvorfälle". Nicht alle Sicherheitsvorfälle führen zu einer Datenverletzung.

c) Umfang

This groupwide policy applies to all staff of My Eco Best Friend. This Policy is available on www.myecobestfriend.com and shall be advised to staff at induction and at periodic staff training. My Eco Best Friend expects any My Eco Best Friend contractors, suppliers or any other parties acting on My Eco Best Friend’s behalf (collectively, “External Parties”) to collect or manage personal information to follow this policy, whether they are utilizing My Eco Best Friend’s and/or their own systems and data management tools. My Eco Best Friend employees are responsible for ensuring that any External Parties they work with in support of My Eco Best Friend operations comply with this policy.

d) Verantwortung

Staff are responsible for ensuring that appropriate and adequate protection and controls are in place and applied in each facility and resource under their control and identifying those that are not. Managers are responsible for ensuring that staff in their area follow this Policy and adhere to all related procedures. The Data Protection Officer (DPO) is responsible for overseeing the management of any breach.

My Eco Best Friend Datenschutzbeauftragter:

Gaëtan Bio Chemin du Creux-Bechet, 6, 1096, Villette (Switzerland) T: +41 (0)79 847 91 55 contact@myecobestfriend.com Die Rechtsabteilung führt regelmäßige Überprüfungen der bestehenden Maßnahmen und Praktiken durch.

e) T MINUS 72 STUNDEN VERFAHREN

Meldung von Sicherheitsvorfällen - Meldepflicht für jeden Mitarbeiter  Bestätigte oder vermutete IT-Sicherheitsvorfälle sollten immer unverzüglich per E-Mail an die IT-Sicherheitsabteilung als erste Anlaufstelle gemeldet werden. contact@myecobestfriend.com In case any staff member becomes aware or suspects that personal data has been compromised for any other reason than an IT security incident (e.g. through loss of a portable device, misaddressing of labels, sensitive information left where unauthorized viewing could take place – i.e. photocopies not properly disposed of or left on copier), he/she shall immediately notify his/her Manager. When there is a potential conflict of interest or for any other reasons, in the interest of confidentiality, such a report may be made directly to the DPO. In both cases, the staff member reporting the security incident may be asked to complete the Data Security Breach Incident Report (See Appendix 1).

2) Eindämmung von Verstößen

Data security breaches should be contained and responded to immediately upon becoming aware of such a breach. Staff member and/or IT Security will seek to contain the matter and mitigate any further exposure of the personal data held having regard to the “Incident Response DOs and DON’Ts for IT systems” advice set out at Anhang 2. Je nach Art der Bedrohung für die personenbezogenen Daten kann dies bedeuten, dass einige oder alle PCs, Netzwerke usw. unter Quarantäne gestellt werden und das Personal aufgefordert wird, nicht auf PCs, Netzwerke usw. zuzugreifen. Ebenso kann es eine Quarantäne des/der manuellen Datenspeicher und anderer Bereiche bedeuten, die angemessen sind. In einem ersten Schritt sollte eine Prüfung der gespeicherten Aufzeichnungen oder des/der Sicherungsserver(s) durchgeführt werden, um festzustellen, welche Art von personenbezogenen Daten möglicherweise offengelegt wurde.

3) Folgenabschätzung

In parallel of/following immediate containment, the risks must be assessed which may be associated with the breach, potential adverse consequences to the individuals, as well as My Eco Best Friend itself. Where the data concerned is protected by technological measures such as to make it unintelligible to any person who is not authorized to access it, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO. However, such a conclusion would only be justified where the technological measures (such as encryption) were of a high standard. Moreover, any security incident which affects more than 100 data subjects or include sensitive personal data or personal data of a financial nature must always be escalated to the DPO. Where no notification is made to the DPO, My Eco Best Friend shall keep a summary record of the security incident as all data security incidents must be centrally logged in the IT Service Management system (ITSM system) to ensure appropriate oversight in the types and frequency of incidents for management and reporting purposes. Unless, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO, the latter will be informed without delay by the IT Security Team (the Information and Security Officer (CISO) where relevant) in order to gather a small team of persons together to assess the potential exposure/loss. This team will assist the CISO, the DPO (and the Manager where relevant) with the practical matters associated with this Policy and Procedures. Action shall be undertaken in accordance with the dedicated team’s direction/advice. Each team member shall have a backup member to cover holidays, sick leave etc. During the investigation, the team should attempt to gather information that would be useful in assessing whether My Eco Best Friend is required to notify supervisory authorities and affected individuals. The type of data involved;The following must be considered in order to assess the potential exposure/loss:
  1. ob die Daten sensibel sind oder für Identitätsbetrug verwendet werden können
  2. Ob es sich um viele Einzelpersonen handelt
  3. Wenn Daten verloren gegangen sind oder gestohlen wurden, ob Verschlüsselungsschutzmaßnahmen vorhanden sind;
  4. Was mit den Daten geschehen ist, z. B. die Möglichkeit, dass sie verwendet werden, um der/den Person(en) Schaden zuzufügen usw...
Das Team kann auch die Hinweise zur "Übersicht über die Einstufung des Datenschutzrisikos" in Anhang 3 berücksichtigen.

4) Benachrichtigungen 

  1. Aufsichtsbehörde
Since the trigger for the 72‐hour deadline for regulator notification is fundamentally legal in nature, lawyers and other compliance personnel should be responsible for making the ultimate call as to whether an incident constitutes a personal data breach requiring regulator notification. Notification must contain (1) Nature, extent and impact of the breach; (2) Personal data possibly involved; (3) Measures taken to address the breach; (4) Details of the DPO or contact person designated by the DPO to provide additional information; and (5) Any assistance to be provided to the data subject.

ii. Datensubjekt

Wenn dies gesetzlich vorgeschrieben ist, wird das Team unter der Leitung des Datenschutzbeauftragten unverzüglich prüfen, ob die Betroffenen informiert werden müssen.1. In particular the team shall: Contact the individuals concerned (whether by phone/email etc.) to advise that an unauthorised disclosure/loss/destruction or alteration of the individual’s personal data has occurred Where possible and as soon as is feasible, the Datensubjekte (i.e. individuals whom the data is about) should be advised of: the nature of the data that has been potentially exposed/compromised; the level of sensitivity of this data, and an outline of the steps My Eco Best Friend intends to take by way of containment or remediation Individuals should be advised as to whether My Eco Best Friend intends to contact other Supervisory Authorities Specific and clear advice should finally be given to individuals on the steps they can take to protect themselves and what My Eco Best Friend can do to assist them. Security of the medium used for notifying individuals of a breach and urgency of situation should be borne in mind.

5) Medienanfragen und andere Dritte 

Media enquiries about the breach shall always be dealt with by the Head of Communication. My Eco Best Friend shall also consider whether police, insurers, data processors or for instance banks should be notified.

f) Dokumentieren, Untersuchen und Umsetzen von Änderungen

It is important that any security incidents and actual data breaches are documented and investigated, and the response to the breach is evaluated in terms of its effectiveness. All data security breaches will thus be centrally logged in the ITSM system to ensure appropriate oversight in the types and frequency of confirmed incidents for management and reporting purposes.[1] Except where Supervisory Authorities have requested a delay for investigative purposes. Where My Eco Best Friend receives such a direction from Supervisory Authorities, it should make careful notes of the advice they receive (including the date and the time of the conversation and the name and rank of the person to whom they spoke). Where possible, My Eco Best Friend should ask for the directions to be given to them in writing on letter‐headed notepaper from the Supervisory Authorities, or where this is not possible, My Eco Best Friend should write to the relevant law enforcement agency to the effect that “wir nehmen Ihre Anweisungen zur Kenntnis, die uns von Ihrem Bediensteten [Name des Bediensteten einfügen] am XX Tag des XX um XX Uhr nachmittags erteilt wurden, dass wir für einen Zeitraum von XXX/bis zu einer weiteren Mitteilung Ihrerseits, dass wir die von der Datenschutzverletzung betroffenen Personen informieren dürfen, aufschieben sollten.” A full review should be undertaken. Staff should be apprised of any changes to this Policy and of upgraded security measures. Staff should receive refresher training where necessary.

g) Umsetzung und Überprüfung

Diese Politik kann im Lichte von Änderungen in der Gesetzgebung, rechtlicher Beratung und dem Aufkommen relevanter neuer Technologien überprüft werden.

Anhang 1- Verletzung der Datensicherheit - Vorfallsbericht

Senden Sie dieses Formular per E-Mail an IT Security contact@myecobestfriend.com

Rufen Sie immer den CISO oder den IT Incident Manager an um sie auf den Verstoß aufmerksam zu machen vor dieses Formular zu senden.

 
Bitte geben Sie so viele Informationen/Details wie möglich an möglich:
Beschreibung des Sicherheitsvorfalls/Datenverstoßes
Bestätigter oder vermuteter Verstoß?
Wer meldet die Sicherheitsverletzung: Name/Abteilung
Uhrzeit und Datum, an dem der Sicherheitsvorfall/-verstoß festgestellt wurde und von wem
Gab es weitere Zeugen? Wenn ja, geben Sie die Namen an.
Ursache des Verstoßes? ·       Accident or oversight, ·       Technical error, ·       Intentional theft or wrongdoing, ·       Unauthorized browsing, ·       Other (describe), ·       Unknown
Erste Klassifizierung der verletzten Daten ·       Public Data ·       Internal Data ·       Personal Data ·       Sensitive Data
 
Umfang der betroffenen Daten  Sehr wenige (weniger als 20) Identifizierte und begrenzte Gruppe (>20 und <100) Große Anzahl von Personen betroffen (>100) Die Zahlen sind nicht bekannt
Sind die von der Sicherheitsverletzung betroffenen Personen Studenten/Sponsoren, Mitarbeiter oder beides?
Sind Ihnen die betroffenen Personen bekannt (Liste beifügen)?
Beziehen sich die Daten auf gefährdete Gruppen?
An wen wurden die Daten weitergegeben bzw. von wem wurde darauf zugegriffen, falls bekannt?
Arten von Schäden, die durch die Verletzung entstehen können ·       Identify theft ·       Physical harm ·       Hurt, humiliation, damage to reputation ·       Loss of business or employment opportunities ·       Breach of contractual obligations
Wurde die Verletzung eingedämmt oder dauert sie noch an?
Wenn ja, welche Maßnahmen werden ergriffen, um die Daten wiederherzustellen?
Waren irgendwelche IT-Systeme beteiligt? Wenn ja, führen Sie diese bitte auf.
Gab es zum Zeitpunkt des Verstoßes Verschlüsselungsmaßnahmen?
Ist es schon einmal zu einem derartigen Verstoß gekommen?
Gibt es noch andere Personen, die über Risiken/Maßnahmen beraten können?
Alle anderen relevanten Informationen Wenn z. B. die Bankdaten von Einzelpersonen verloren gegangen sind, sollten Sie sich an die Banken selbst wenden, um sich beraten zu lassen, was sie tun können, um eine betrügerische Nutzung zu verhindern, aber auch an Polizei, Versicherungen, Gewerkschaften, Datenverarbeiter usw..
 
Empfangen von:
Datum/Uhrzeit:
Verstoß-ID:
 

Anhang 2 - DOs und DON'Ts bei der Reaktion auf Zwischenfälle in IT-Systemen

 

DOs

immediately isolate the affected system to prevent further intrusion, release of data, damage etc. use the telephone as the Attacker may be capable of monitoring e‐mail traffic preserve all pertinent logs, g. firewall, router and intrusion detection system make back‐up copies of damaged or altered files and keep these backups in a secure location identify where the affected system resides within the network topology identify all systems and agencies that connect to the affected system identify the programs and processes that operate on the affected system(s), the impact of the disruption and the maximum allowable outage time in the event the affected system is collected as evidence, make arrangements to provide for the continuity of services i.e. prepare redundant system and obtain data back‐ups

DON'Ts

communicate the issue with anyone else other than your line manager and the recipients listed in section 3 delete, move or alter files on the affected systems contact the suspected perpetrator conduct a forensic analysis    

Anhang 3 - Übersicht über die Einstufung des Datenschutzrisikos

Faktor RISIKO-BEWERTUNG
LOW MEDIUM HOCH
Art der personenbezogenen Informationen Öffentlich zugängliche persönliche Informationen, die nicht mit anderen Informationen verknüpft sind Persönliche Informationen, die für die Organisation einzigartig sind und nicht zu den medizinischen oder finanziellen Informationen gehören Medizinische, psychologische, beratende oder finanzielle Informationen oder eindeutige Identifikationsnummer einer öffentlichen Einrichtung, versehentliche Weitergabe an einen Fremden, der die Verletzung meldete und die Vernichtung oder Rückgabe der Informationen bestätigte, Weitergabe an eine Person, die in irgendeiner Beziehung zu der/den betroffenen Person(en) steht oder diese kennt, insbesondere Weitergabe an motivierte Familienmitglieder, Nachbarn oder Mitarbeiter, vorsätzliche Verletzung. Ursache unbekannt. Technischer Fehler - falls nicht behoben,Große Gruppe oder gesamter Umfang der Gruppe nicht identifiziert (über 100),Hardcopy-Dateien oder -Geräte wurden wiederhergestellt, aber zwischen dem Verlust und der Wiederherstellung verging so viel Zeit, dass auf die Daten hätte zugegriffen werden können,Verlust des Vertrauens in My Eco Best Friend,Verlust von Vermögenswerten, Verträgen oder Geschäften von My Eco Best Friend,Finanzielles Risiko,Sicherheitsrisiko (z. B. physische Sicherheit), Identitätsdiebstahl oder Betrugsrisiko
Beziehungen Versehentliche Weitergabe an den Vertragspartner, der den Verstoß gemeldet und die Vernichtung oder Rückgabe der Informationen bestätigt hat Accidental disclosure to a stranger who reported the breach and confirmed destruction or return of the information Disclosure to an individual with some relationship to or knowledge of the affected individual(s), particularly disclosures to motivated family members, neighbours or co-workers
Ursache des Verstoßes Technischer Fehler, der behoben wurde Versehentlicher Verlust oder Offenlegung Intentional breach. Cause unknown. Technical error – if not resolved
Umfang Sehr wenige betroffene Personen Identifizierte und eingeschränkte Gruppe von betroffenen Personen Large group or entire scope of group not identified (over 100)
Bemühungen zur Eindämmung Data was adequately encrypted Portable storage device was remotely wiped and there is evidence that the device was not accessed prior to wiping Hard copy files or device were recovered almost immediately and all files appear intact and/or unread Portable storage device was remotely wiped within hours of loss but there is no evidence to confirm that the device was not accessed prior to wiping Hard copy files or device were recovered but sufficient time passed between the loss and recovery that the data could have been accessed Data was not encrypted Data, files or device have not been recovered Data at risk of further disclosure particularly through mass media or online
Vorhersehbarer Schaden durch den Verstoß Kein vorhersehbarer Schaden durch den Verstoß Loss of business or employment opportunities, hurt, humiliation, damage to reputation or relationships, social/relational harm Loss of trust in My Eco Best Friend Loss of My Eco Best Friend assets, contracts, or business Financial exposure Security risk (e.g. physical safety), identity theft or fraud risk Hurt, humiliation, damage to reputation may also be a high risk depending on the circumstances