Sådan demonstrerer du overholdelse af GDPR artikel 28

UK GDPR-version

Processor

1. Når behandlingen skal udføres på vegne af en dataansvarlig, må den dataansvarlige kun anvende databehandlere, der giver tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning og sikrer beskyttelsen af ​​rettighederne til den registrerede.
2. Databehandleren må ikke ansætte en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige. I tilfælde af generel skriftlig bemyndigelse skal databehandleren informere den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.
3. En databehandlers behandling er underlagt en kontrakt eller anden retsakt i henhold til national ret, der er bindende for databehandleren i forhold til den dataansvarlige, og som angiver behandlingens genstand og varighed, arten og formålet med behandlingen. , typen af ​​personoplysninger og kategorier af registrerede og den dataansvarliges forpligtelser og rettigheder. I denne kontrakt eller anden retsakt skal det navnlig fastsættes, at databehandleren:
• (a) Behandler kun personoplysningerne efter dokumenterede instruktioner fra den dataansvarlige, herunder med hensyn til overførsler af personoplysninger til et tredjeland eller en international organisation, medmindre det er påkrævet i henhold til national lovgivning, som databehandleren er underlagt; i et sådant tilfælde skal databehandleren informere den dataansvarlige om dette lovkrav inden behandlingen, medmindre denne lov forbyder sådanne oplysninger af væsentlige hensyn til offentlighedens interesse.
• (b) Sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
• (c) Træffer alle nødvendige foranstaltninger i henhold til artikel 32.
• d) Overholder betingelserne i stk. 2 og 4 for at ansætte en anden forarbejdningsvirksomhed.
• (e) Under hensyntagen til behandlingens art bistår den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt det er muligt, til opfyldelse af den dataansvarliges forpligtelse til at reagere på anmodninger om at udøve den registreredes rettigheder fastsat i kapitel III .
• (f) Assisterer den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32 til 36 under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.
• (g) Efter den dataansvarliges valg sletter eller returnerer alle personoplysninger til den dataansvarlige efter afslutningen af ​​leveringen af ​​tjenester vedrørende behandling og sletter eksisterende kopier, medmindre national lovgivning kræver opbevaring af personoplysningerne.
• (h) stiller alle nødvendige oplysninger til rådighed for den registeransvarlige for at påvise overholdelse af forpligtelserne i denne artikel og give mulighed for og bidrage til revisioner, herunder inspektioner, udført af den registeransvarlige eller en anden revisor bemyndiget af den registeransvarlige.
   
  Med hensyn til første afsnit, litra h), underretter databehandleren straks den dataansvarlige, hvis en instruks efter dennes opfattelse er i strid med denne forordning eller anden national lovgivning vedrørende databeskyttelsesforpligtelser.
4. Hvis en databehandler ansætter en anden databehandler til at udføre specifikke behandlingsaktiviteter på den dataansvarliges vegne, pålægges de samme databeskyttelsesforpligtelser som fastsat i kontrakten eller anden retsakt mellem den dataansvarlige og databehandleren som nævnt i stk. anden databehandler i form af en kontrakt eller anden retlig handling i henhold til national ret, især ved at give tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis den anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ud ansvarlig over for den dataansvarlige for udførelsen af ​​den anden databehandlers forpligtelser.
5. En databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise tilstrækkelige garantier som omhandlet i stk. 1 og 4 i denne artikel .
6. Uden at det berører en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4 i denne artikel, helt eller delvist være baseret på standardkontraktbestemmelser som omhandlet i stk. denne artikel, herunder når de er en del af en certificering, der er givet til den registeransvarlige eller databehandleren i henhold til artikel 8 og 42.
7. Kommissæren kan vedtage standardkontraktbestemmelser for de forhold, der er nævnt i stk. 3 og 4 i denne artikel.
8. Kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4, skal være skriftlig, herunder i elektronisk form.
9. Med forbehold af artikel 82, 83 og 84 skal databehandleren, hvis en databehandler overtræder denne forordning ved at bestemme formålene med og midlerne til behandlingen, anses for at være en dataansvarlig med hensyn til denne behandling.

Teknisk kommentar

GDPR artikel 28 omhandler 8 konstituerende områder, der styrer, hvordan databehandlingsaktiviteter kan outsources til tredjepartstjenesteudbydere:

1. De minimumskrav, der er nødvendige for at bruge en tjenesteudbyder.
2. Yderligere engagement fra andre databehandlere, når tjenesteudbyderen er blevet engageret med.
3. Behovet for en juridisk bindende, skriftlig kontrakt.
4. Underbehandling (underentreprise).
5. Adfærdskodekser.
6. Kontraktlige klausuler.
7. Formkrav.
8. Retlige konsekvenser efter kontraktbrud.

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 28

I dette afsnit taler vi om GDPR artikel 28 (10), 28 (5) og 28 (6)

Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af ​​et PIMS.

Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

1. Gennemgang af gældende love, regler eller 'retlige afgørelser'.
2. Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.
3. Eventuelle administrative faktorer, herunder den daglige drift af virksomheden.
4. Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.

ISO 27701 klausul 6.12.1.2 (Adressering af sikkerhed inden for leverandøraftaler) og EU GDPR artikel 28

I dette afsnit taler vi om GDPR artikel 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) og (3)(h)

Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.

I den forbindelse bør organisationer:

• Tilbyd en klar beskrivelse, der beskriver de privatlivsoplysninger, der skal tilgås, og hvordan disse oplysninger skal tilgås.
• Klassificer de privatlivsoplysninger, der skal tilgås, i overensstemmelse med et accepteret klassifikationssystem (se ISO 27002 Kontrol 5.10, 5.12 og 5.13).
• Tag tilstrækkeligt hensyn til leverandørens eget klassifikationssystem.
• Kategoriser rettigheder i fire hovedområder – juridiske, lovpligtige, regulatoriske og kontraktmæssige – med en detaljeret beskrivelse af forpligtelser pr. område.
• Sørg for, at hver part er forpligtet til at indføre en række kontroller, der overvåger, vurderer og administrerer risikoniveauer for beskyttelse af privatlivets fred.
• Skitsér behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se ISO 27002 Kontrol 5.20).
• Fremme en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af privatlivsoplysninger og fysiske og virtuelle aktiver fra begge parter.
• Indfør autorisationskontroller, der kræves for, at personale på leverandørsiden kan få adgang til eller se en organisations privatlivsoplysninger.
• Overvej, hvad der sker i tilfælde af kontraktbrud eller manglende overholdelse af individuelle bestemmelser.
• Skitser en Incident Management-procedure, herunder hvordan større begivenheder kommunikeres.
• Sørg for, at personalet får undervisning i sikkerhedsbevidsthed.
• (Hvis leverandøren har tilladelse til at bruge underleverandører) tilføjer krav for at sikre, at underleverandører er tilpasset det samme sæt standarder for privatlivsinformationssikkerhed som leverandøren.
• Overvej, hvordan leverandørpersonale screenes, før de interagerer med privatlivsoplysninger.
• Fastlæg behovet for tredjepartsattester, der adresserer leverandørens evne til at opfylde organisatoriske krav til beskyttelse af privatlivets fred.
• Har den kontraktlige ret til at revidere en leverandørs procedurer.
• Kræv, at leverandører leverer rapporter, der beskriver effektiviteten af ​​deres egne processer og procedurer.
• Fokuser på at tage skridt til at påvirke rettidig og grundig løsning af eventuelle defekter eller konflikter.
• Sikre, at leverandører opererer med en passende BUDR-politik for at beskytte integriteten og tilgængeligheden af ​​PII og privatlivsrelaterede aktiver.
• Kræv en ændringsstyringspolitik på leverandørsiden, der informerer organisationen om alle ændringer, der har potentiale til at påvirke beskyttelsen af ​​privatlivets fred.
• Implementer fysiske sikkerhedskontroller, der er proportionale med følsomheden af ​​de data, der lagres og behandles.
• (Hvor data skal overføres) bede leverandører om at sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption.
• Skitser en liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse.
• Bed leverandøren om at skitsere, hvordan de har til hensigt at ødelægge privatlivsoplysninger efter opsigelse, eller at dataene ikke længere er nødvendige.
• Tag skridt til at sikre minimal forretningsafbrydelse i en overdragelsesperiode.

Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.

Understøtter ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 paragraf 6.15.1.1 (Identifikation af gældende lovgivning og kontraktlige krav) og EU GDPR artikel 28

I dette afsnit taler vi om GDPR artikel 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) og (3)(h)

Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:

1. Udarbejdelse og/eller ændring af procedurer for beskyttelse af privatlivets fred.
2. Kategorisering af information.
3. Påbegyndelse af risikovurderinger vedrørende privatlivsinformationssikkerhedsaktiviteter.
4. At skabe leverandørforhold, herunder eventuelle kontraktlige forpligtelser i hele forsyningskæden.

Organisationer bør følge procedurer, der tillader dem identificere, analysere , forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.

Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.

Når de implementerer krypteringsmetoder for at styrke beskyttelsen af ​​privatlivets fred og beskytte PII, bør organisationer:

• Overhold alle love, der regulerer import og eksport af hardware eller software, der har potentiale til at opfylde en kryptografisk funktion.
• Giv adgang til krypteret information i henhold til lovene i den jurisdiktion, de opererer inden for.
• Brug tre nøgleelementer i kryptering:
1. Digitale underskrifter.
2. Sæler.
3. Digitale certifikater.

Understøtter ISO 27002 kontroller

• ISO 27002 5.20

ISO 27701 paragraf 7.2.6 (kontrakter med PII-behandlere) og EU GDPR artikel 28(3)(e) og 28(9)

Organisationer skal skitsere detaljerne i enhver fælles PII-behandlingsordning med en medfølgende PII-controller – dette inkluderer generelle beskyttelsesforanstaltninger og alle tilhørende sikkerhedskrav.

Roller og ansvar skal være klare og utvetydige og skitseret i et juridisk bindende dokument (nogle gange kaldet en 'datadelingsaftale').

Aftaler kan omfatte (blandt andre foranstaltninger):

• Hvorfor PII bliver delt.
• Datakategorier.
• En generel oversigt over PII-behandlingen.
• Eventuelle relevante roller og ansvarsområder.
• Hvordan fortrolighedsinformationssikkerhed skal styres.
• Hvilke handlinger skal der tages i tilfælde af et databrud.
• Hvordan PII skal bevares og destrueres, når det ikke længere er nødvendigt.
• Hvad sker der, når en af ​​parterne misligholder aftalen.
• Hvad er begge parters forpligtelser over for PII principaler.
• Hvilke mekanismer er på plads for at give PII-principper relevante detaljer om den fælles aftale.
• Hvordan PII-rektorer kan fremsætte officielle anmodninger, og hvordan man formulerer og leverer et svar.
• Kontaktpunkter – både internt og for PII-principper at bruge.

ISO 27701 paragraf 8.2.1 (kundeaftale) og EU GDPR artikel 28

I dette afsnit taler vi om GDPR artikel 28(3)(e) og 28(3)(f) og 28(9)

Kundekontrakter bør omfatte:

• Begrebet 'privacy by design' (se ISO 27701 paragraf 7.4 og 8.4).
• Hvordan organisationen agter at opnå sikkerhed ved behandling.
• Hvordan brud skal rapporteres, herunder kunde, principaler og regulerende myndigheder.
• Hvordan Vurdering af privatlivets fred skal behandles.
• Bekræftelse af organisationens hensigt om at yde bistand til PII-beskyttelsesmyndigheder.

Understøtter ISO 27701 klausuler

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 paragraf 8.2.2 (Organisationens formål) og EU GDPR artikel 28 (3)(a)

Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.

Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.

ISO 27701 paragraf 8.2.4 (Krænkende instruktioner) og EU GDPR artikel 28 (3)(h)

Organisationer skal opretholde en grundig arbejdsforståelse af, hvordan instruktioner har potentiale til at komme i konflikt med gældende lovgivning eller regulatoriske forpligtelser.

Overtrædelser sker normalt omkring tre faktorer.

1. Hvordan teknologien bliver brugt.
2. Præmissen for instruktionen.
3. Eventuelle kontraktlige forpligtelser.

ISO 27701 paragraf 8.2.5 (kundens forpligtelser) og EU GDPR artikel 28 (3)(h)

Organisationer skal kunne give deres kunder tilstrækkelig information, så kunderne til enhver tid er i stand til at opfylde deres forpligtelser.

Den nødvendige information kan omfatte en bred vifte af funktioner, men er normalt relateret til interne revisioner og organisationens rolle i at facilitere dem gennem levering af information.

ISO 27701 paragraf 8.3.1 (Forpligtelser over for PII Principals) og EU GDPR artikel 28 (3)(h)

Dataansvarliges forpligtelser er styret af tre faktorer:

1. Lovgivning.
2. Regulering.
3. Kontrakter.

Kontrakter bør indeholde evt oplysninger or tekniske operationer som gør det muligt for organisationen at opfylde sine forpligtelser som dataansvarlig.

ISO 27701 paragraf 8.4.2 (Returnering, overførsel eller bortskaffelse af PII) og EU GDPR artikel 28 (3)(g)

Der er forskellige scenarier, der kræver bortskaffelse af PII, herunder (men ikke begrænset til):

• Returnering af enhver PII til kunden.
• Levering af PII til en anden organisation.
• Ødelægge information.
• Afidentifikation.
• Arkivering.

Organisationer skal give kategoriske forsikringer om, at enhver PII, som ikke længere er nødvendig, vil blive ødelagt i overensstemmelse med enhver gældende lovgivning eller regionale retningslinjer.

Alle bortskaffelsespolitikker bør være tilgængelige for kunden på forlangende og bør dække den periode, organisationer skal ødelægge PII, når en kontrakt er blevet opsagt.

ISO 27701 paragraf 8.5.4 (meddelelse om anmodninger om offentliggørelse af PII) og EU GDPR artikel 28 (3)(a)

Organisationer bør udarbejde en procedure, der styrer, hvordan PII-princippere underrettes om juridisk bindende tredjepartsanmodninger om deres oplysninger, herunder en rimelig tidsramme og en kontraktbestemmelse, der skitserer hele processen.

Frem for alt har organisationer brug for det efterkomme anmodninger fra retshåndhævende myndigheder, som har ret til at anmode om, at kunden ikke får besked om nogen anmodning, og sikre, at de ikke bryder nogen love ved et uheld eller forsætligt at informere kunden om situationen.

ISO 27701 paragraf 8.5.6 (Oplysning om underleverandører, der bruges til at behandle PII) og EU GDPR artikel 28 (2) og (28)(4)

Alle bestemmelser for brug af underleverandører bør være opført som sådan i SLA/kundekontrakten.

Oplysninger om underleverandører bør omfatte:

• Underleverandørens navn.
• Alle lande, som underleverandøren er i stand til at overføre data til (se ISO 27701 punkt 8.5.2), således at kunden er i stand til at informere eventuelle PII-princippere.
• Hvordan underleverandøren forventes at opfylde organisationens behov (se ISO 27701 paragraf 8.5.7).

NDA'er bør udarbejdes for at afsløre enhver information, der ville udgøre en øget sikkerhedsrisiko, hvis den afsløres offentligt.

Understøtter ISO 27701 klausuler

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 paragraf 8.5.7 (Engagement of a Subcontractor to Process PII) og EU GDPR artikel 28 (2) og 28 (3)(d)

Organisationer skal indhente skriftlig godkendelse fra deres kunder, før PII behandles af en tredjepartsorganisation.

Underleverandører bør være underlagt en bindende aftale (normalt i form af en skriftlig kontrakt), som sikrer, at underleverandører forstår deres forpligtelser med hensyn til at implementere kontrollerne anført i ISO 27701 bilag B.

Kontrakter bør tage højde for forskellige risikovurderingsprocesser (se ISO 27701 punkt 5.4.1.2) og hele omfanget af organisationens PII-behandling (se ISO 27701 punkt 6.12). Som ovenfor skal alle kontroller, der er anført i bilag B, overholdes, med eventuelle udeladelser anført sammen med begrundelserne for at gøre det.

Understøtter ISO 27701 klausuler

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 paragraf 8.4 (Ændring af underleverandør til proces PII) og EU GDPR GDPR artikel 28 (2)

Når der opstår behov for at ændre den måde, som organisationen outsourcer ethvert element i sin PII-behandling på, skal kunderne informeres om ændringerne i god tid for at give dem tid til at stille spørgsmålstegn ved eller gøre indsigelse mod disse ændringer.

Kontrakter bør indeholde klausuler, der sørger for skriftlig tilladelse fra kunden til at gå videre med ændringen, før nogen PII behandles.

Organisationer kan også søge godkendelse af ændringer inden for ad-hoc skriftlige aftaler, uden for eventuelle kontraktmæssige vilkår.

Understøtter ISO 27701 klausuler og ISO 27002 kontroller

Hvordan ISMS.online hjælper

Bygget efter ISO 27701, tilpasset andre regler.

Med ISO 27701 kan du oprette et Privacy Information Management System, der overholder de fleste regler om privatliv. Dette inkluderer EU's Generel databeskyttelsesforordning, BS 10012 og Sydafrikas POPIA.

Du kan nemt følge den internationale standard med vores forenklede, sikre og bæredygtige software.

Den alt-i-én-platform, vi leverer, sikrer, at dit privatlivsarbejde er på linje med ISO 27701 og opfylder kravene.

Find ud af mere ved booking af en kort 30 minutters demo.