Sådan demonstrerer du overholdelse af GDPR artikel 25

Databeskyttelse ved design og som standard

Book en demo

ung, kvindelig, iværksætter, freelancer, arbejder, bruger, en, bærbar computer, i, coworking

GDPR Artikel 25 omhandler databeskyttelse ved design og som standard.

Dette koncept sikrer, at den dataansvarlige tager hensyn til en registrerets privatliv i alle faser af deres drift og designer databehandlingsoperationer, der sætter GDPR i centrum for en række mål.

For at opnå dette skal organisationer først definere et særskilt sæt af privatlivsmålsætninger, før de påbegynder konstruktionen og den efterfølgende implementering af en databehandlingsoperation (eller, ved proxy, et produkt).

GDPR Artikel 25 Lovtekst

EU GDPR-version

Databeskyttelse ved design og som standard

  1. Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålene med behandlingen samt risiciene for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, som behandlingen udgør, skal den dataansvarlige, både på tidspunktet for fastlæggelsen af ​​midlerne til behandling og på tidspunktet for selve behandlingen implementere passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet til at implementere databeskyttelsesprincipper, såsom dataminimering, på en effektiv måde måde og for at integrere de nødvendige sikkerhedsforanstaltninger i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

  2. Den registeransvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til at sikre, at der som standard kun behandles personoplysninger, som er nødvendige for hvert enkelt formål med behandlingen. Denne forpligtelse gælder for mængden af ​​indsamlede personoplysninger, omfanget af deres behandling, varigheden af ​​deres opbevaring og deres tilgængelighed. Sådanne foranstaltninger skal især sikre, at personoplysninger som standard ikke gøres tilgængelige uden den enkeltes indgriben for et ubestemt antal fysiske personer.

  3. En godkendt certificeringsmekanisme i henhold til artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 og 2 i denne artikel.

UK GDPR-version

Databeskyttelse ved design og som standard

  1. Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålene med behandlingen samt risiciene for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, som behandlingen udgør, skal den dataansvarlige, både på tidspunktet for fastlæggelsen af ​​midlerne til behandling og på tidspunktet for selve behandlingen implementere passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet til at implementere databeskyttelsesprincipper, såsom dataminimering, på en effektiv måde måde og for at integrere de nødvendige sikkerhedsforanstaltninger i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

  2. Den registeransvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til at sikre, at der som standard kun behandles personoplysninger, som er nødvendige for hvert enkelt formål med behandlingen. Denne forpligtelse gælder for mængden af ​​indsamlede personoplysninger, omfanget af deres behandling, varigheden af ​​deres opbevaring og deres tilgængelighed. Sådanne foranstaltninger skal især sikre, at personoplysninger som standard ikke gøres tilgængelige uden den enkeltes indgriben for et ubestemt antal fysiske personer.

  3. En godkendt certificeringsmekanisme i henhold til artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 og 2 i denne artikel.

Gå til emne
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Mark Wightman
Chief Technical Officer Aluma
100 % af vores brugere består certificeringen første gang
Book din demo

Teknisk kommentar

Når en organisation sætter sig for at lave en databehandlingsoperation, der overholder databeskyttelse "by design" og "som standard", er der flere vigtige faktorer, der skal tages i betragtning:

  • Den teknologiske udvikling.

  • Implementeringsomkostninger.

  • Operationens art (kontekst og formål).

  • Risici og individets friheder.

  • Omfang (dvs. hvor data skal indsamles).

  • Dataminimering.

  • Begrebet "passende" foranstaltninger.

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 25 (3)

Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af ​​et PIMS.

Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

  • Gennemgang af gældende love, regler eller 'retlige afgørelser'.

  • Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.

  • Eventuelle administrative faktorer, herunder den daglige drift af virksomheden.

  • Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.

ISO 27701 paragraf 6.10.2.4 (aftaler om fortrolighed eller fortrolighed) og EU GDPR artikel 25 (1)(f)

Organisationer bør anvende fortrolighedsaftaler (NDA'er) og fortrolighedsaftaler for at beskytte bevidst eller utilsigtet videregivelse af følsomme oplysninger til uautoriseret personale.

Når organisationer udarbejder, implementerer og vedligeholder sådanne aftaler, bør de:

  • Giv en definition af de oplysninger, der skal beskyttes.

  • Angiv tydeligt den forventede varighed af aftalen.

  • Angiv tydeligt eventuelle nødvendige handlinger, når en aftale er blevet opsagt.

  • Ethvert ansvar, der er aftalt af bekræftede underskrivere.

  • Ejerskab af oplysninger (herunder IP og forretningshemmeligheder).

  • Hvordan underskrivere har tilladelse til at bruge oplysningerne.

  • Angiv klart organisationens ret til at overvåge fortrolige oplysninger.

  • Eventuelle konsekvenser, der vil opstå af manglende overholdelse.

  • Gennemgå regelmæssigt deres behov for fortrolighed og justere eventuelle fremtidige aftaler i overensstemmelse hermed.

Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 Kontrol 5.31, 5.32, 5.33 og 5.34).

Understøtter ISO 27002 kontroller

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 paragraf 6.11.2.1 (Sikker udviklingspolitik) og EU GDPR artikel 25 (1)

Organisationer skal sikre, at udviklingslivscyklussen skabes med privatlivsbeskyttelse i tankerne.

For at opnå dette bør organisationer:

  1. Arbejd med separate udviklings-, test- og udviklingsmiljøer (se ISO 27002 Kontrol 8.31).

  2. Offentliggør vejledning om beskyttelse af privatlivets fred gennem hele udviklingens livscyklus, herunder metoder, kodningsvejledninger og programmeringssprog (se ISO 27002 kontrol 8.28, 8.27 og 5.8).

  3. Skitser sikkerhedskrav i specifikations- og designfasen (se ISO 27002 Kontrol 5.8).

  4. Implementer sikkerhedskontrolpunkter i alle relevante projekter (se ISO 27002 Kontrol 5.8).

  5. Foretag system- og sikkerhedstest, herunder kodescanninger og penetrationstests (se ISO 27002 kontrol 5.8).

  6. Tilbyd sikre lagre for al kildekode (se ISO 27002 kontrol 8.4 og 8.9).

  7. Udøv strenge procedurer for versionskontrol (se ISO 27002 kontrol 8.32).

  8. Tilbyd personalet privatlivsbeskyttelse og træning i applikationssikkerhed (se ISO 27002 Kontrol 8.28).

  9. Analyser en udviklers evne til at lokalisere, afbøde og udrydde sårbarheder (se ISO 27002 kontrol 8.28).

  10. Dokumenter eventuelle gældende eller fremtidige licenskrav (se ISO 27002 Kontrol 8.30).

Understøtter ISO 27002 kontroller

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISO 27701 paragraf 6.11.2.5 (Sikkert udviklingsmiljø) og EU GDPR artikel 25 (1)

Organisatorisk system bør designes, dokumenteres, implementeres og vedligeholdes med privatlivsbeskyttelse for øje:

Tekniske principper bør analysere:

  • En bred vifte af sikkerhedskontroller, der er nødvendige for at beskytte PII mod specifikke og generaliserede trusler.

  • Hvor veludstyret sikkerhedskontrol er til at håndtere større sikkerhedshændelser.

  • Målrettede kontroller, der er adskilte til individuelle forretningsprocesser.

  • Hvor på netværket og hvordan sikkerhedskontrol bør implementeres.

  • Hvordan forskellige kontroller fungerer i harmoni med hinanden.

Tekniske principper bør tage højde for:

  1. Arkitektonisk integration.

  2. Tekniske sikkerhedsforanstaltninger (kryptering, IAM, DAM osv.)

  3. Hvor godt rustet organisationen er til at implementere og vedligeholde den valgte løsning.

  4. Retningslinjer for bedste praksis i branchen.

Sikker systemudvikling bør omfatte:

  • Veletablerede industristandard arkitektoniske principper.

  • En omfattende designgennemgang, der identificerer sårbarheder og hjælper med at danne en ende-til-ende tilgang til overholdelse.

  • Fuldstændig offentliggørelse af eventuelle sikkerhedskontroller, der ikke opfylder de forventede krav.

  • Systemhærdning.

Organisationer bør som standard mod en 'nul tillid' tilgang til sikkerhed.

Hvor organisationen outsourcer udvikling til tredjepartsorganisationer, bør der tilstræbes, at partnerens sikkerhedsprincipper er afstemt med organisationens egne.

Understøtter ISO 27002 kontroller

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 paragraf 7.4.2 (Grænsebehandling) og EU GDPR artikel 25 (2)

Organisationer bør også kun behandle PII, hvis det er relevant, proportionalt og nødvendigt for at opfylde et angivet formål, herunder:

  1. Afsløring.

  2. Opbevaring.

  3. Tilgængelighed.

Understøtter ISO 27701 klausuler og ISO 27002 kontroller

GDPR artikelISO 27701 klausulISO 27002 kontrol
EU GDPR artikel 25 (3)ISO 27701 5.2.1Ingen
EU GDPR artikel 25 (1)(f)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU GDPR artikel 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU GDPR artikel 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU GDPR artikel 25 (2)ISO 27701 7.4.2Ingen

Hvordan ISMS.online hjælper

Vi giver dig et præbygget miljø, hvor du kan beskrive og demonstrere, hvordan du beskytter dine europæiske og britiske kunders data.

ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret.

Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.

  • ROPA gjort let
  • Vurderingsskabeloner
  • En sikker plads til DRR (Data Subject Rights Requests)
  • Håndtering af brud

Find ud af mere ved booking af en kort 30 minutters demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere