Sådan demonstrerer du overholdelse af GDPR artikel 32

Teknisk kommentar

GDPR artikel 32 beder organisationer om at tage en risikobaseret tilgang til databehandling, der tager hensyn til flere nøglevariabler:

• En grundig risikovurdering, der tager højde for utilsigtet eller ulovlig ødelæggelse eller ændring af persondata, adgang til data og hvordan data håndteres.
• Undersøgelse af tekniske foranstaltninger, der mindsker risici på tværs af hele organisationen.
• Implementering af teknikker og foranstaltninger, der håndterer eventuelle risici, der er mest sandsynligt at forekomme.
• Adfærdskodeks, der holder organisationen og enkeltpersoner i den ansvarlige for deres handlinger, når de håndterer data.
• Garanterer til registrerede, at enhver, der interagerer med deres data, gør det på en passende og lovlig måde.

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 32 (3)

Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af ​​et PIMS.

Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

• Gennemgang af gældende love, regler eller 'retlige afgørelser'.
• Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.
• Eventuelle administrative faktorer, herunder den daglige drift af virksomheden.
• Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.

ISO 27701 paragraf 5.2.3 (fastsættelse af omfanget af informationssikkerhedsstyringssystemet) og EU GDPR artikel 32, stk.

ISO anbefaler en grundig scoping-øvelse, så organisationer er i stand til at producere et PIMS, der først opfylder kravene til beskyttelse af privatlivets fred, og for det andet ikke kryber ind i områder af virksomheden, der ikke har brug for opmærksomhed.

Organisationer bør etablere og dokumentere:

1. Eventuelle eksterne eller interne problemer, som beskrevet i ISO 27001 4.1.
2. Tredjepartskrav som beskrevet i ISO 27001 4.2.
3. Hvordan organisationen interagerer med både sig selv og eksterne instanser (f.eks. kundekontaktpunkter, IKT-grænseflader).

Alle scoping-øvelser, der kortlægger en PIMS-implementering, bør omfatte en grundig vurdering af PII-behandling og -lagringsaktiviteter.

ISO 27701 paragraf 5.2.4 (informationssikkerhedsstyringssystem) og EU GDPR artikel 32, stk.

Organisationer bør søge at implementere, administrere og optimere et Privacy Information Management System (PIMS), i overensstemmelse med offentliggjorte ISO-standarder.

ISO 27701 paragraf 5.4.1.2 (Informationssikkerhedsrisikovurdering) og EU GDPR artikel 32 (1)(b) og 32 (2)

Organisationer bør kortlægge og implementere en risikovurderingsproces for beskyttelse af privatlivets fred, der:

• Inkluderer risikoacceptkriterier med henblik på at udføre vurderinger af privatlivsbeskyttelse.
• Giver en ramme for sammenlignelig analyse af alle vurderinger af privatlivsbeskyttelse.
• Identificerer privatlivsbeskyttelsesrisici (og deres ejere).
• Overvejer de farer og risici, der er forbundet med tab af "fortrolighed, tilgængelighed og integritet" af PII.
• Analyserer risici for beskyttelse af privatlivets fred sammen med tre faktorer:
• Deres potentielle konsekvenser.
• Sandsynligheden for at de opstår.
• Deres sværhedsgrad.
• analyserer og prioriterer eventuelle identificerede risici i overensstemmelse med deres risikoniveau.

ISO 27701 paragraf 5.4.1.3 (Risikobehandling af informationssikkerhed) og EU GDPR artikel (32)(1)(b)

Organisationer bør udarbejde og implementere en privatlivsbeskyttelse/PII "risikobehandlingsproces", der:

• Implementer en 'risikobehandlingsplan' til beskyttelse af privatlivets fred.
• Identificerer, hvordan en PIMS skal behandle individuelle risikoniveauer, baseret på et sæt vurderingsresultater.
• Fremhæver en række kontroller, der er nødvendige for at implementere behandling af beskyttelse af privatlivets fred.
• Krydshenviser alle kontroller, der er identificeret med den omfattende liste leveret af ISO i Bilag A til ISO 27001.
• Dokumenter og begrunde brugen af ​​eventuelle kontroller, der anvendes i en formel "erklæring om anvendelighed".
• Søg godkendelse fra eventuelle risikoejere, før der færdiggøres en risikobehandlingsplan for beskyttelse af privatlivets fred, der inkluderer "resterende" privatlivsbeskyttelse og PII-risici.

ISO 27701 paragraf 6.11.1.2 (Sikkerhed i udviklings- og støtteprocesser) og EU GDPR artikel 32 (1)(a)

Applikationssikkerhedsprocedurer bør udvikles sammen med bredere privatlivsbeskyttelsespolitikker, normalt via en struktureret risikovurdering, der tager højde for flere variabler.

Applikationssikkerhedskrav bør omfatte:

• De tillidsniveauer, der er iboende inden for alle netværksenheder (se ISO 27002 Kontrol 5.17, 8.2 og 8.5).
• Klassificeringen af ​​data, som applikationen er konfigureret til at behandle (inklusive PII).
• Eventuelle adskillelseskrav.
• Beskyttelse mod interne og eksterne angreb og/eller ondsindet brug.
• Alle gældende juridiske, kontraktmæssige eller regulatoriske krav.
• Robust beskyttelse af fortrolige oplysninger.
• Data, der skal beskyttes under transport.
• Eventuelle kryptografiske krav.
• Sikker input og output kontrol.
• Minimal brug af ubegrænsede inputfelter – især dem, der har potentiale til at gemme personlige data.
• Håndtering af fejlmeddelelser, herunder tydelig kommunikation af fejlkoder.

Transaktionstjenester, der letter strømmen af ​​privatlivsdata mellem organisationen og en tredjepartsorganisation eller partnerorganisation, bør:

1. Etabler et passende niveau af tillid mellem organisatoriske identiteter.
2. Inkluder mekanismer, der kontrollerer tillid mellem etablerede identiteter (f.eks. hashing og digitale signaturer).
3. Skitser robuste procedurer, der styrer, hvad medarbejdere er i stand til at administrere vigtige transaktionsdokumenter.
4. Indeholder dokument- og transaktionsstyringsprocedurer, der dækker fortrolighed, integritet, bevis for afsendelse og modtagelse af nøgledokumenter og transaktioner.
5. Medtag specifik vejledning om, hvordan du holder transaktioner fortrolige.

For alle applikationer, der involverer elektronisk bestilling og/eller betaling, bør organisationer:

• Skitser strenge krav til beskyttelse af betalings- og bestillingsdata.
• Bekræft betalingsoplysninger, før en ordre afgives.
• Opbevar transaktions- og privatlivsrelaterede data sikkert på en måde, der er utilgængelig for offentligheden.
• Brug betroede myndigheder, når du implementerer digitale signaturer, med beskyttelse af privatlivets fred i tankerne til enhver tid.

Understøtter ISO 27002 kontroller

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 klausul 6.12.1.2 (Adressering af sikkerhed inden for leverandøraftaler) og EU GDPR artikel 32 (1)(b)

Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.

I den forbindelse bør organisationer:

• Tilbyd en klar beskrivelse, der beskriver de privatlivsoplysninger, der skal tilgås, og hvordan disse oplysninger skal tilgås.
• Klassificer de privatlivsoplysninger, der skal tilgås, i overensstemmelse med et accepteret klassifikationssystem (se ISO 27002 kontrol 5.10, 5.12 og 5.13).
• Tag tilstrækkeligt hensyn til leverandørens eget klassifikationssystem.
• Kategoriser rettigheder i fire hovedområder – juridiske, lovpligtige, regulatoriske og kontraktmæssige – med en detaljeret beskrivelse af forpligtelser pr. område.
• Sørg for, at hver part er forpligtet til at indføre en række kontroller, der overvåger, vurderer og administrerer risikoniveauer for beskyttelse af privatlivets fred.
• Skitsér behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se ISO 27002 Kontrol 5.20).
• Fremme en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af privatlivsoplysninger og fysiske og virtuelle aktiver fra begge parter.
• Indfør autorisationskontroller, der kræves for, at personale på leverandørsiden kan få adgang til eller se en organisations privatlivsoplysninger.
• Overvej, hvad der sker i tilfælde af kontraktbrud eller manglende overholdelse af individuelle bestemmelser.
• Skitser en Incident Management-procedure, herunder hvordan større begivenheder kommunikeres.
• Sørg for, at personalet får undervisning i sikkerhedsbevidsthed.
• (Hvis leverandøren har tilladelse til at bruge underleverandører) tilføjer krav for at sikre, at underleverandører er tilpasset det samme sæt standarder for privatlivsinformationssikkerhed som leverandøren.
• Overvej, hvordan leverandørpersonale screenes, før de interagerer med privatlivsoplysninger.
• Fastlæg behovet for tredjepartsattester, der adresserer leverandørens evne til at opfylde organisatoriske krav til beskyttelse af privatlivets fred.
• Har den kontraktlige ret til at revidere en leverandørs procedurer.
• Kræv, at leverandører leverer rapporter, der beskriver effektiviteten af ​​deres egne processer og procedurer.
• Fokuser på at tage skridt til at påvirke rettidig og grundig løsning af eventuelle defekter eller konflikter.
• Sikre, at leverandører opererer med en passende BUDR-politik for at beskytte integriteten og tilgængeligheden af ​​PII og privatlivsrelaterede aktiver.
• Kræv en ændringsstyringspolitik på leverandørsiden, der informerer organisationen om alle ændringer, der har potentiale til at påvirke beskyttelsen af ​​privatlivets fred.
• Implementer fysiske sikkerhedskontroller, der er proportionale med følsomheden af ​​de data, der lagres og behandles.
• (Hvor data skal overføres) bede leverandører om at sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption.
• Skitser en liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse.
• Bed leverandøren om at skitsere, hvordan de har til hensigt at ødelægge privatlivsoplysninger efter opsigelse, eller at dataene ikke længere er nødvendige.
• Tag skridt til at sikre minimal forretningsafbrydelse i en overdragelsesperiode.

Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.

Understøtter ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 paragraf 6.15.2.1 (uafhængig gennemgang af informationssikkerhed) og EU GDPR artikel 32

I dette afsnit taler vi om GDPR artikel 32 (1)(b), 32 (1)(d), 32 (2)

Organisationer bør udvikle processer, der tager højde for uafhængige gennemgange af deres praksis for privatlivsinformationssikkerhed, herunder både emnespecifikke politikker og generelle politikker.

Anmeldelser bør udføres af:

• Interne revisorer.
• Uafhængige afdelingsledere.
• Specialiserede tredjepartsorganisationer.

Anmeldelser bør være uafhængige og udføres af personer med tilstrækkelig viden om retningslinjer for beskyttelse af privatlivets fred og organisationens egne procedurer.

Korrekturlæsere bør fastslå, om sikkerhedspraksis for privatlivets fred er i overensstemmelse med organisationens "dokumenterede mål og krav".

Ud over strukturerede periodiske gennemgange kan organisationer støde på behovet for at udføre ad hoc-gennemgange, der udløses af visse begivenheder, herunder:

• Efter ændringer af interne politikker, love, retningslinjer og regler, der påvirker beskyttelsen af ​​privatlivets fred.
• Efter større hændelser, der har påvirket privatlivets fred.
• Hver gang en ny virksomhed oprettes, eller der gennemføres større ændringer i den nuværende virksomhed.
• Efter vedtagelsen af ​​et nyt produkt eller en tjeneste, der på nogen måde beskæftiger sig med beskyttelse af privatlivets fred.

ISO 27701 paragraf 6.15.2.3 (Teknisk overholdelsesgennemgang) og EU GDPR artikel 32 (1)(d) og (32)(2)

Organisationer skal sikre, at personalet er i stand til at gennemgå privatlivspolitikker på tværs af hele spektret af forretningsdrift.

Ledelsen bør udvikle tekniske metoder til rapportering om overholdelse af privatlivets fred (herunder automatisering og skræddersyede værktøjer). Rapporter bør registreres, opbevares og analyseres for yderligere at forbedre indsatsen for PII-sikkerhed og beskyttelse af privatlivets fred.

Hvor overholdelsesproblemer opdages, bør organisationer:

• Find årsagen.
• Beslut dig for en metode til korrigerende handling for at lukke og overholde huller.
• Gense problemet efter en passende periode for at sikre, at problemet er løst.

Det er meget vigtigt at træffe korrigerende foranstaltninger så hurtigt som muligt. Hvis problemerne ikke er fuldt løst på tidspunktet for den næste gennemgang, skal der som minimum fremlægges dokumentation for, at der gøres fremskridt.

ISO 27701 paragraf 6.5.2.1 (Klassificering af oplysninger) og EU GDPR artikel (32)(2)

I stedet for at stille al information på lige fod, bør organisationen klassificere information på et emnespecifikt grundlag.

Informationsejere bør overveje fire nøglefaktorer, når de klassificerer data (især vedrørende PII), som bør gennemgås med jævne mellemrum, eller når sådanne faktorer ændres:

1. fortrolighed af dataene.
2. integritet af dataene.
3. data tilgængelighed niveauer.
4. Organisationens juridiske forpligtelser mod PII.

For at give en klar operationel ramme bør informationskategorier navngives i overensstemmelse med det iboende risikoniveau, hvis der skulle opstå hændelser, der kompromitterer nogen af ​​ovenstående faktorer.

For at sikre kompatibilitet på tværs af platforme bør organisationer gøre deres informationskategorier tilgængelige for eksternt personale, som de deler information med, og sikre, at organisationens eget klassifikationssystem er bredt forstået af alle relevante parter.

Organisationer bør være på vagt over for enten at underklassificere eller omvendt overklassificere data. Førstnævnte kan føre til fejl ved gruppering af PII med mindre følsomme datatyper, mens førstnævnte ofte fører til ekstra omkostninger, en større chance for menneskelige fejl og behandlingsanomalier.

ISO 27701 paragraf 6.5.3.1 (Håndtering af flytbare medier) og EU GDPR artikel 32 (1)(a)

Når organisationer udvikler politikker, der styrer håndteringen af ​​medieaktiver, der er involveret i lagring af PII, bør organisationer:

• Udvikle unikke emnespecifikke politikker baseret på afdelings- eller jobbaserede krav.
• Sørg for, at der søges og gives korrekt autorisation, før personalet er i stand til at fjerne lagermedier fra netværket (inklusive at holde en nøjagtig og ajourført registrering af sådanne aktiviteter).
• Opbevar medier i overensstemmelse med producentens specifikationer, fri for miljøskader.
• Overvej at bruge kryptering som en forudsætning for at få adgang, eller hvor dette ikke er muligt, at implementere yderligere fysiske sikkerhedsforanstaltninger.
• Minimer risikoen for, at PII bliver beskadiget ved at overføre information mellem lagringsmedier efter behov.
• Introducer PII-redundans ved at gemme beskyttet information på flere aktiver på samme tid.
• Tillad kun brugen af ​​lagermedier på godkendte input (dvs. SD-kort og USB-porte) på aktiv-for-aktiv-basis.
• Overvåg nøje overførslen af ​​PII til lagermedier til ethvert formål.
• Tag hensyn til de risici, der er forbundet med den fysiske overførsel af lagermedier (og ved fuldmagt, PII indeholdt på det), når du flytter aktiver mellem personale eller lokaler (se ISO 27002 Kontrol 5.14).

Ved genbrug, genbrug eller bortskaffelse af lagermedier bør der indføres robuste procedurer for at sikre, at PII ikke påvirkes på nogen måde, herunder:

• Formatering af lagringsmediet og sikring af, at al PII er fjernet før genbrug (se ISO 27002 kontrol 8.10), herunder opretholdelse af tilstrækkelig dokumentation for alle sådanne aktiviteter.
• Sikker bortskaffelse af medier, som organisationen ikke har yderligere brug for, og som er blevet brugt til at opbevare PII.
• Hvis bortskaffelse kræver involvering af en tredjepart, bør organisationen sørge for, at de er en egnet og ordentlig partner til at udføre sådanne opgaver, i overensstemmelse med organisationens ansvar over for PII og beskyttelse af privatlivets fred.
• Implementering af procedurer, der identificerer, hvilke lagringsmedier der er tilgængelige til genbrug eller kan bortskaffes i overensstemmelse hermed.

Hvis enheder, der er blevet brugt til at opbevare PII, bliver beskadiget, bør organisationen nøje overveje, om det er mere hensigtsmæssigt at ødelægge sådanne medier eller sende det til reparation (fejler på siden af ​​førstnævnte).

ISO advarer organisationer mod at bruge ukrypterede lagerenheder til enhver PII-relaterede aktiviteter.

Understøtter ISO 27002 kontroller

• ISO 27002 5.14

ISO 27701 paragraf 6.5.3.3 (overførsel af fysiske medier) og EU GDPR artikel 32 (1)(a)

Se afsnittet ovenfor om ISO 27701, paragraf 6.5.3.1

yderligere information

Hvis medier skal bortskaffes fra tidligere PII, bør organisationer implementere procedurer, der dokumenterer ødelæggelsen af ​​PII og privatlivsrelaterede data, herunder kategoriske forsikringer om, at de ikke længere er tilgængelige.

Understøtter ISO 27002 kontroller

• ISO 27002 5.14

ISO 27701 paragraf 6.7.1.1 (Politik om brug af kryptografiske kontroller) og EU GDPR artikel 32 (1)(a)

Organisationer bør bruge kryptering til at beskytte fortrolighed, ægthed , integritet af PII og privatlivsrelaterede oplysninger og for at overholde deres forskellige kontraktlige, juridiske eller regulatoriske forpligtelser.

Kryptering er et vidtrækkende koncept – der er ingen 'one size fits all'-tilgang. Organisationer bør vurdere deres behov og vælge en kryptografisk løsning, der opfylder deres unikke kommercielle og operationelle mål.

Organisationer bør overveje:

• Udvikle en emnespecifik tilgang til kryptografi, der tager højde for forskellige afdelingsmæssige, rollebaserede og operationelle krav.
• Det passende beskyttelsesniveau (sammen med den type information, der skal krypteres).
• Mobile enheder og lagermedier.
• Kryptografisk nøglehåndtering (opbevaring, behandling osv.).
• Specialiserede roller og ansvar for kryptografiske funktioner, herunder implementering og nøglestyring (se ISO 27002 Kontrol 8.24).
• De tekniske krypteringsstandarder, der skal vedtages, herunder algoritmer, krypteringsstyrke, retningslinjer for bedste praksis.
• Hvordan kryptering vil fungere sammen med andre cybersikkerhedstiltag, såsom malwarebeskyttelse og gatewaysikkerhed.
• Grænseoverskridende og grænseoverskridende love og retningslinjer (se ISO 27002 Kontrol 5.31).
• Kontrakter med tredjeparts kryptografipartnere, der dækker helt eller delvist ansvar, pålidelighed og svartider.

Nøglehåndtering

Nøglestyringsprocedurer bør fordeles på 7 hovedfunktioner:

1. Generation.
2. Opbevaring.
3. Arkivering.
4. Hentning.
5. Distribution.
6. Går på pension.
7. Ødelæggelse.

Organisatoriske nøglestyringssystemer bør:

• Administrer nøglegenerering for alle krypteringsmetoder.
• Implementer offentlige nøglecertifikater.
• Sørg for, at alle relevante menneskelige og ikke-menneskelige enheder er udstedt med de nødvendige nøgler.
• Opbevar nøgler.
• Ændre nøgler efter behov.
• Hav procedurer på plads til at håndtere potentielt kompromitterede nøgler.
• Dekommissionsnøgler, eller tilbagekald adgang på en bruger-til-bruger basis.
• Gendan mistede eller defekte nøgler, enten fra sikkerhedskopier og nøglearkiver.
• Ødelæg nøgler, der ikke længere er nødvendige.
• Administrer aktiverings- og deaktiveringslivscyklussen, så visse nøgler kun er tilgængelige i det tidsrum, de er nødvendige.
• Behandle officielle anmodninger om adgang fra retshåndhævende myndigheder eller, under visse omstændigheder, tilsynsmyndigheder.
• Indeholder adgangskontroller, der beskytter fysisk adgang til nøgler og krypteret information.
• Overvej ægtheden af ​​offentlige nøgler før implementering (certifikatmyndigheder og offentlige certifikater).

Understøtter ISO 27002 kontroller

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 paragraf 6.9.3.1 (informationssikkerhedskopiering) og EU GDPR artikel 32 (1)(c)

Organisationer bør udarbejde emnespecifikke politikker, der direkte adresserer, hvordan organisationen sikkerhedskopierer de relevante områder af sit netværk for at sikre PII og forbedre modstandskraften mod privatlivsrelaterede hændelser.

BUDR-procedurer bør udarbejdes for at nå det primære mål om at sikre dette alle forretningskritiske data, software og systemer er i stand til at blive gendannet efterfølgende datatab, indtrængen, forretningsafbrydelse , kritiske fejl.

Som en prioritet bør BUDR-planer:

• Skitser gendannelsesprocedurer, der dækker alle kritiske systemer og tjenester.
• Være i stand til at producere brugbare kopier af alle systemer, data eller applikationer, der er en del af et backupjob.
• Tjener organisationens kommercielle og operationelle krav (se ISO 27002 Kontrol 5.30).
• Gem sikkerhedskopier på et miljøbeskyttet sted, der er fysisk adskilt fra kildedataene (se ISO 27002 kontrol 8.1).
• Test og vurderer regelmæssigt backup-job i forhold til organisationens påbudte gendannelsestider for at garantere datatilgængelighed.
• Krypter alle PII-relaterede sikkerhedskopieringsdata.
• Dobbelttjek for datatab, før du udfører et backupjob.
• Overhold et rapporteringssystem, der gør personalet opmærksom på status for backupjobs.
• Søg at inkorporere data fra cloud-baserede platforme, der ikke er direkte administreret af organisationen, i interne backupjob.
• Gem sikkerhedskopier i overensstemmelse med en passende PII-opbevaringspolitik (se ISO 27002 Kontrol 8.10).

Organisationer skal udvikle separate procedurer, der udelukkende omhandler PII (omend indeholdt i deres hoved-BUDR-plan).

Regionale afvigelser i PII BUDR-standarder (kontraktlige, juridiske og regulatoriske) bør tages i betragtning, når et nyt job oprettes, jobs ændres eller nye PII-data føjes til BUDR-rutinen.

Når der opstår behov for at gendanne PII efter en BUDR-hændelse, bør organisationer være meget omhyggelige med at returnere PII til dens oprindelige tilstand og gennemgå genoprettelsesaktiviteter for at løse eventuelle problemer med de nye data.

Organisationer bør føre en log over gendannelsesaktivitet, herunder alt personale, der er involveret i gendannelsen, og en beskrivelse af den PII, der er blevet gendannet.

Organisationer bør tjekke med enhver lovgivende eller regulerende instans og sikre, at deres PII-gendannelsesprocedurer er i overensstemmelse med, hvad der forventes af dem som PII-behandler og controller.

Understøtter ISO 27002 kontroller

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 paragraf 7.2.1 (Identificer og dokumentformål) og EU GDPR artikel 32 (4)

Organisationer skal først identificere og så optage de specifikke årsager til at behandle den PII, de bruger.

PII-princippere skal være fuldt ud fortrolige med alle de forskellige årsager til, hvorfor deres PII bliver behandlet.

Det er organisationens ansvar at formidle disse grunde til PII-rektorer sammen med en 'klar erklæring' om, hvorfor de skal behandle deres oplysninger.

Al dokumentation skal være klar, omfattende og let forståelig af enhver PII-principal, der læser den – inklusive alt, der vedrører samtykke, samt kopier af interne procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 og 7.2.8).

Understøtter ISO 27701 kontroller

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 paragraf 7.4.5 (PII-afidentifikation og sletning ved slutningen af ​​behandlingen) og EU GDPR artikel 32 (1)(a)

Organisationer skal enten fuldstændigt ødelægge enhver PII, der ikke længere opfylder et formål, eller ændre den på en måde, der forhindrer enhver form for principiel identifikation.

Så snart organisationen konstaterer, at PII ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettet or de-identificeret, som omstændighederne tilsiger.

ISO 27701 paragraf 8.2.2 (Organisatoriske formål) og EU GDPR artikel 32 (4)

Fra begyndelsen bør PII kun behandles i overensstemmelse med kundens instruktioner.

Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.

Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.

Understøtter ISO 27701 klausuler og ISO 27002 kontroller

Hvordan ISMS.online hjælper

ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret. Du VIL drage fordel af en række kraftfulde tidsbesparende funktioner.

ISMS.online gør det også nemt for dig at springe direkte ind i din rejse til GDPR-overholdelse og nemt at demonstrere et beskyttelsesniveau, der går ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.

Find ud af mere ved booking af en kort 30 minutters demo.