Ana içeriğe geç
WPROIT WPROIT
tr

Uyum & Yönetişim

GDPR veri sızıntısından sonraki ilk 72 saat: pragmatik bir kılavuz

GDPR'ın 72 saatlik bildirim saati, ihlalin farkına vardığınızda başlar — kapsam konusunda emin olduğunuzda değil. Bir CISO'nun karşılaşacağı en yoğun üç gün için net bir kılavuz.

W
WPROIT Administrator
10 dk okuma
İçindekiler

Madde 33 GDPR kapsamındaki 72 saatlik saat, kişisel veri ihlalinin farkına vardığınızda — kapsamı belirlediğinizde değil — ilemeye başlar. Bu nüans çoğu kuruluşun tökezlediği yerdir. Bu kılavuz WPROIT'in Almanya, Hollanda ve Polonya'da desteklediği gerçek olaylardan inşa edilmiştir.

Saat 0–6: Triaj ve kapsama

Hemen tek bir olay komutanı oluşturun. Onun işi sorunu çözmek değil — sorunu çözen kişileri koordine etmektir. Bir war-room kanalı açın, etkilenen sistemleri adli için snapshot alın ve araştırmadan önce yanal olarak kapsayın.

Saat 6–24: Kapsam belirleme

Düzenleyici için üç soru önemlidir: hangi veri, ne kadar, kim etkilenmiş? Bu sırayla yanıtlayın. Henüz bilmediğiniz konular hakkında dürüst olun — denetim otoriteleri yanlış çıkan erken kesinliği, "hala araştırıyoruz" demekten çok daha az saygıyla karşılar.

Saat 24–48: Bildirim hazırlığı

Taslaklar üç hedef kitleyi tatmin etmeli: düzenleyici, etkilenen veri sahipleri ve müşterileriniz. Düzenleyici bildiriminde teknik ayrıntıyı koruyun; veri sahipleri için açık, sade dilde açıklamalar koruyun.

Saat 48–72: Bildirim ve iletişim

İlk bildiriminizi denetim otoritesine, görüntü tamamlanmamış olsa bile, son tarih öncesi sunun. Madde 33(4) sonraki güncellemelere açıkça izin verir. Tüm dış iletişimleri hukuk ve PR ile koordine edin — asla yalnızca güvenlikle değil.

72. saat ötesi: Unutulan faz

Çoğu kılavuz bildirim son tarihinde durur. Daha zor iş sonraki iki haftadır: adli kök neden, kanıt koruma, kapsam netleştikçe takip açıklamaları, müşteri-güven yeniden inşası ve acılı ama kaçınılmaz olay-sonrası inceleme.

Yaygın hatalar

  • "Tam bilgi" beklemek — saat durmaz
  • Düzenleyici bildirimini teknik ekibin yazmasına izin vermek
  • Hukukun "kanıt koruma" korkusuyla kapsamayı geciktirmesine izin vermek — uzman DFIR avukatına olaydan önce konuşun, sırasında değil
  • Müşterilere "kötüye kullanım kanıtımız yok" demek — gerçekten kontrol etmeden önce

WPROIT Avrupalı müşteriler için 7/24 olay müdahale retainer hizmeti yürütür. Bir kılavuzunuz yoksa, bir olay dışında inşa etmek olay sırasında inşa etmekten dramatik şekilde daha ucuzdur.

Etiketler

#GDPR

Bu makaleyi paylaş

LinkedIn X E-posta
W

Yazan

WPROIT Administrator

WPROIT kıdemli danışmanları, Avrupa'daki kuruluşlara siber güvenlik, uyum ve dayanıklılık konularında danışmanlık veriyor.

Ekibimizle görüşün

Okumaya devam edin

İlgili olabilecek yazılar

Tüm makaleleri görüntüle →

Avrupalı orta ölçekli işletmeler için NIS2 hazırlık kontrol listesi

NIS2, AB genelinde "temel ve önemli kuruluş" çemberini genişletiyor. İşte orta ölçekli güvenlik liderlerinin denetçilerinden önce uygulayabileceği 12 maddelik pratik bir kontrol listesi.

9 dk okuma

Avrupalı uygulayıcılar için ISO 27001:2022'de neler değişti

2022 revizyonu yönetişimi sıkılaştırır, 11 yeni kontrol ekler ve Ek A'yı dört temaya yeniden düzenler. 2013 sertifikasına sahip kuruluşlar için yoğun bir geçiş kılavuzu.

8 dk okuma

MTTR'yi azaltmak: Avrupa SOC'leri için ayar kılavuzu

Çoğu güvenlik operasyon merkezinin alarm sorunu yok — ayar sorunu var. Birden fazla WPROIT engagement'ında ortalama yanıt süresini yarıya indiren beş somut adım.

7 dk okuma