GDPR Artikel 25 omhandler databeskyttelse ved design og som standard.
Dette koncept sikrer, at den dataansvarlige tager hensyn til en registrerets privatliv i alle faser af deres drift og designer databehandlingsoperationer, der sætter GDPR i centrum for en række mål.
For at opnå dette skal organisationer først definere et særskilt sæt af privatlivsmålsætninger, før de påbegynder konstruktionen og den efterfølgende implementering af en databehandlingsoperation (eller, ved proxy, et produkt).
Databeskyttelse ved design og som standard
- Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålene med behandlingen samt risiciene for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, som behandlingen udgør, skal den dataansvarlige, både på tidspunktet for fastlæggelsen af midlerne til behandling og på tidspunktet for selve behandlingen implementere passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet til at implementere databeskyttelsesprincipper, såsom dataminimering, på en effektiv måde måde og for at integrere de nødvendige sikkerhedsforanstaltninger i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
- Den registeransvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til at sikre, at der som standard kun behandles personoplysninger, som er nødvendige for hvert enkelt formål med behandlingen. Denne forpligtelse gælder for mængden af indsamlede personoplysninger, omfanget af deres behandling, varigheden af deres opbevaring og deres tilgængelighed. Sådanne foranstaltninger skal især sikre, at personoplysninger som standard ikke gøres tilgængelige uden den enkeltes indgriben for et ubestemt antal fysiske personer.
- En godkendt certificeringsmekanisme i henhold til artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 og 2 i denne artikel.
Databeskyttelse ved design og som standard
- Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved gennemførelsen og arten, omfanget, konteksten og formålene med behandlingen samt risiciene for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, som behandlingen udgør, skal den dataansvarlige, både på tidspunktet for fastlæggelsen af midlerne til behandling og på tidspunktet for selve behandlingen implementere passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet til at implementere databeskyttelsesprincipper, såsom dataminimering, på en effektiv måde måde og for at integrere de nødvendige sikkerhedsforanstaltninger i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
- Den registeransvarlige skal implementere passende tekniske og organisatoriske foranstaltninger til at sikre, at der som standard kun behandles personoplysninger, som er nødvendige for hvert enkelt formål med behandlingen. Denne forpligtelse gælder for mængden af indsamlede personoplysninger, omfanget af deres behandling, varigheden af deres opbevaring og deres tilgængelighed. Sådanne foranstaltninger skal især sikre, at personoplysninger som standard ikke gøres tilgængelige uden den enkeltes indgriben for et ubestemt antal fysiske personer.
- En godkendt certificeringsmekanisme i henhold til artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 og 2 i denne artikel.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Når en organisation sætter sig for at lave en databehandlingsoperation, der overholder databeskyttelse "by design" og "som standard", er der flere vigtige faktorer, der skal tages i betragtning:
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.
Dette omfatter:
Organisationer bør anvende fortrolighedsaftaler (NDA'er) og fortrolighedsaftaler for at beskytte bevidst eller utilsigtet videregivelse af følsomme oplysninger til uautoriseret personale.
Når organisationer udarbejder, implementerer og vedligeholder sådanne aftaler, bør de:
Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 Kontrol 5.31, 5.32, 5.33 og 5.34).
Organisationer skal sikre, at udviklingslivscyklussen skabes med privatlivsbeskyttelse i tankerne.
For at opnå dette bør organisationer:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi er omkostningseffektive og hurtige
Organisatorisk system bør designes, dokumenteres, implementeres og vedligeholdes med privatlivsbeskyttelse for øje:
Tekniske principper bør analysere:
Tekniske principper bør tage højde for:
Sikker systemudvikling bør omfatte:
Organisationer bør som standard mod en 'nul tillid' tilgang til sikkerhed.
Hvor organisationen outsourcer udvikling til tredjepartsorganisationer, bør der tilstræbes, at partnerens sikkerhedsprincipper er afstemt med organisationens egne.
Organisationer bør også kun behandle PII, hvis det er relevant, proportionalt og nødvendigt for at opfylde et angivet formål, herunder:
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 25 (3) | ISO 27701 5.2.1 | Ingen |
EU GDPR artikel 25 (1)(f) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU GDPR artikel 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU GDPR artikel 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU GDPR artikel 25 (2) | ISO 27701 7.4.2 | Ingen |
Vi giver dig et præbygget miljø, hvor du kan beskrive og demonstrere, hvordan du beskytter dine europæiske og britiske kunders data.
ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret.
Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.
Find ud af mere ved booking af en kort 30 minutters demo.