Wie werden Kunden bei Sicherheitsvorfällen benachrichtigt?
amaise folgt bei Sicherheitsvorfällen den international anerkannten Meldepflichten und den gesetzlichen Anforderungen der jeweiligen Jurisdiktion:
DSGVO Art. 33/34 (EU): Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden. Benachrichtigung betroffener Personen bei hohem Risiko.
Schweizer nDSG Art. 24: Meldung an den EDÖB (FDPIC) und betroffene Personen so rasch wie möglich bei Datenschutzverletzungen mit hohem Risiko.
US-Regulierungen: Einhaltung der jeweils anwendbaren State Breach Notification Laws sowie branchenspezifischer Vorgaben.
HIPAA (US-Gesundheitsdaten): 60 Tage für Benachrichtigung betroffener Personen und HHS, State Breach Notification Laws mit teils kürzeren Fristen von 30-45 Tagen.
Berufsgeheimnis: Bewertung der Implikationen bei Daten, die besonderen Geheimhaltungspflichten unterliegen (z. B. Anwaltsgeheimnis, ärztliche Schweigepflicht).
Kommunikationskanäle:
Direkte Kundenkommunikation für betroffene Mandanten
Statusseite für öffentliche Updates
Vorfalldetails umfassen: Was geschehen ist, Umfang, Auswirkungen und ergriffene Gegenmassnahmen
Für S1- und S2-Vorfälle gelten dokumentierte Reaktions-SLAs für Bestätigung und initiale Kommunikation.
Benachrichtigung des Kunden als Auftraggeber:
amaise benachrichtigt den Kunden als Auftraggeber (Controller) innerhalb von 24 Stunden nach Feststellung eines Sicherheitsvorfalls, der dessen Daten betrifft. Dies ermöglicht dem Kunden, seine eigenen regulatorischen Meldepflichten fristgerecht zu erfüllen.