אירופה: המלצות מעודכנות לטיפול באירועי אבטחת מידע לפי ה-GDPR

מועצת הרגולטורים האירופאים לפרטיות (ה-EDPB) פרסמה טיוטה של המלצות מעודכנות בדבר ההתמודדות עם אירועי אבטחת מידע לפי הוראות ה-GDPR. טיוטת ההמלצות משלימה את ההנחיה שפורסמה לפני מספר שנים על חובות הדיווח על אירועי אבטחת מידע לפי ה-GDPR. טיוטת ההמלצות הנוכחית מתמקדת בסקירת דוגמאות רבות לאירועי אבטחת מידע וניתוח ההתמודדות הנדרשת לכל אחת מהן לאור ה-GDPR.

הדוגמאות המובאות כוללות מגוון סוגים ודרגות חומרה של אירועי "כופרה" (Ransonware), מקרים של זליגת מידע בשל טעות אנוש או הוצאה המכוונת ע"י גורם פנים, ומקרים של אבדן מסמכים או אמצעי מחשוב הכוללים מידע אישי. בכל המקרים נדרש הארגון לתעד פנימית את האירוע ואת ההשלכות שיש להוראות ה-GDPR עליו, אולם חובת הארגון לדווח על האירוע לרגולטורים האירופאים ולנושאי המידע משתנה בהתאם לחומרת ואופי הפגיעה שנגרמה. לכל אירוע שנסקר בהמלצות נלוות גם הצעות לדרכים למזער את הפגיעה הנגרמת מהאירוע ולצמצם את הסיכון להישנותו.

ההמלצות גם מבהירות כי מוטב לארגונים להכין מראש תוכנית עבודה כתובה וסדורה להתמודדות עם אירועי אבטחת מידע ולתרגל את התוכנית הזו מעת לעת. ההמלצות פתוחות להערות הציבור עד ל-2 במארס 2021.