Notifying stakeholders of incidents

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

• selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
• tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
• henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
• toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:

• Perustetaan ja ylläpidetään asianmukaisia viestintäkanavia turvallisuustapahtumista raportoiville henkilöille ja varmistetaan, että:
• Tapahtumista ilmoittamista varten on määritetty yhteinen yhteyspiste, josta tiedotus tapahtuu kaikille asianomaisille osapuolille.
• Käytettävissä on erilaisia raportointikanavia tapahtumien vakavuuden mukaan, mukaan lukien reaaliaikaiset viestintävaihtoehdot merkittävissä hätätilanteissa ja asynkroniset menetelmät (esim. liput, sähköposti) vähemmän kiireellisissä asioissa.

Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:

• Ulkoisesti saatavilla oleva ja hyvin kommunikoitu menetelmä tietoturvatapahtumien raportointia varten.
• Määritellyt menettelyt ulkoisista lähteistä tuleviin tietoturvatapahtumaraportteihin vastaamista ja niiden käsittelyä varten.

Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.

Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:

• miten pilvipalvelun asiakas raportoi tietoturvatapahtumasta organisaatiolle
• miten organisaatio raportoi tietoturvatapahtumista pilvipalveluasiakkaille
• miten pilvipalvelun asiakas voi seurata aiemmin raportoidun tietoturvatapahtuman tilaa