GDPR Artikel 32 angiver behovet for, at organisationer implementerer forskellige foranstaltninger, der opnår et tilstrækkeligt sikkerhedsniveau på tværs af deres databehandling.
For at opnå dette skal organisationer tage hensyn til:
Sikkerhed ved behandling
- Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og sværhedsgrad for fysiske personers rettigheder og friheder, skal den dataansvarlige og databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen, herunder bl.a.
- Pseudonymisering og kryptering af personlige data.
- Evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer og tjenester.
- Muligheden for at genoprette tilgængeligheden og adgangen til persondata rettidigt i tilfælde af en fysisk eller teknisk hændelse.
- En proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.
- Ved vurderingen af det passende sikkerhedsniveau skal der især tages hensyn til de risici, som behandlingen udgør, især fra utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles.
- Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 i denne artikel.
- Den dataansvarlige og databehandleren skal tage skridt til at sikre, at enhver fysisk person, der handler under den dataansvarliges eller databehandlerens myndighed, og som har adgang til personoplysninger, ikke behandler dem undtagen efter instruks fra den dataansvarlige, medmindre han eller hun er forpligtet til at gøre det pr. EU- eller medlemsstatsret.
Sikkerhed ved behandling
- Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og sværhedsgrad for fysiske personers rettigheder og friheder, skal den dataansvarlige og databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende for risikoen, herunder bl.a.
- Pseudonymisering og kryptering af personlige data.
- Evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer og tjenester.
- Muligheden for at genoprette tilgængeligheden og adgangen til persondata rettidigt i tilfælde af en fysisk eller teknisk hændelse.
- En proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed.
- Ved vurderingen af det passende sikkerhedsniveau skal der især tages hensyn til de risici, som behandlingen udgør, især fra utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles.
- Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overensstemmelse med kravene i stk. 1 i denne artikel.
- Den dataansvarlige og databehandleren skal tage skridt til at sikre, at enhver fysisk person, der handler under den dataansvarliges eller databehandlerens myndighed, og som har adgang til personoplysninger, ikke behandler dem undtagen efter instruks fra den dataansvarlige, medmindre han eller hun er forpligtet til at gøre det pr. national lovgivning.
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
GDPR artikel 32 beder organisationer om at tage en risikobaseret tilgang til databehandling, der tager hensyn til flere nøglevariabler:
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.
Dette omfatter:
ISO anbefaler en grundig scoping-øvelse, så organisationer er i stand til at producere et PIMS, der først opfylder kravene til beskyttelse af privatlivets fred, og for det andet ikke kryber ind i områder af virksomheden, der ikke har brug for opmærksomhed.
Organisationer bør etablere og dokumentere:
Alle scoping-øvelser, der kortlægger en PIMS-implementering, bør omfatte en grundig vurdering af PII-behandling og -lagringsaktiviteter.
Organisationer bør søge at implementere, administrere og optimere et Privacy Information Management System (PIMS), i overensstemmelse med offentliggjorte ISO-standarder.
Organisationer bør kortlægge og implementere en risikovurderingsproces for beskyttelse af privatlivets fred, der:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Organisationer bør udarbejde og implementere en privatlivsbeskyttelse/PII "risikobehandlingsproces", der:
Applikationssikkerhedsprocedurer bør udvikles sammen med bredere privatlivsbeskyttelsespolitikker, normalt via en struktureret risikovurdering, der tager højde for flere variabler.
Applikationssikkerhedskrav bør omfatte:
Transaktionstjenester, der letter strømmen af privatlivsdata mellem organisationen og en tredjepartsorganisation eller partnerorganisation, bør:
For alle applikationer, der involverer elektronisk bestilling og/eller betaling, bør organisationer:
Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.
I den forbindelse bør organisationer:
Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.
I dette afsnit taler vi om GDPR artikel 32 (1)(b), 32 (1)(d), 32 (2)
Organisationer bør udvikle processer, der tager højde for uafhængige gennemgange af deres praksis for privatlivsinformationssikkerhed, herunder både emnespecifikke politikker og generelle politikker.
Anmeldelser bør udføres af:
Anmeldelser bør være uafhængige og udføres af personer med tilstrækkelig viden om retningslinjer for beskyttelse af privatlivets fred og organisationens egne procedurer.
Korrekturlæsere bør fastslå, om sikkerhedspraksis for privatlivets fred er i overensstemmelse med organisationens "dokumenterede mål og krav".
Ud over strukturerede periodiske gennemgange kan organisationer støde på behovet for at udføre ad hoc-gennemgange, der udløses af visse begivenheder, herunder:
Organisationer skal sikre, at personalet er i stand til at gennemgå privatlivspolitikker på tværs af hele spektret af forretningsdrift.
Ledelsen bør udvikle tekniske metoder til rapportering om overholdelse af privatlivets fred (herunder automatisering og skræddersyede værktøjer). Rapporter bør registreres, opbevares og analyseres for yderligere at forbedre indsatsen for PII-sikkerhed og beskyttelse af privatlivets fred.
Hvor overholdelsesproblemer opdages, bør organisationer:
Det er meget vigtigt at træffe korrigerende foranstaltninger så hurtigt som muligt. Hvis problemerne ikke er fuldt løst på tidspunktet for den næste gennemgang, skal der som minimum fremlægges dokumentation for, at der gøres fremskridt.
I stedet for at stille al information på lige fod, bør organisationen klassificere information på et emnespecifikt grundlag.
Informationsejere bør overveje fire nøglefaktorer, når de klassificerer data (især vedrørende PII), som bør gennemgås med jævne mellemrum, eller når sådanne faktorer ændres:
For at give en klar operationel ramme bør informationskategorier navngives i overensstemmelse med det iboende risikoniveau, hvis der skulle opstå hændelser, der kompromitterer nogen af ovenstående faktorer.
For at sikre kompatibilitet på tværs af platforme bør organisationer gøre deres informationskategorier tilgængelige for eksternt personale, som de deler information med, og sikre, at organisationens eget klassifikationssystem er bredt forstået af alle relevante parter.
Organisationer bør være på vagt over for enten at underklassificere eller omvendt overklassificere data. Førstnævnte kan føre til fejl ved gruppering af PII med mindre følsomme datatyper, mens førstnævnte ofte fører til ekstra omkostninger, en større chance for menneskelige fejl og behandlingsanomalier.
Når organisationer udvikler politikker, der styrer håndteringen af medieaktiver, der er involveret i lagring af PII, bør organisationer:
Ved genbrug, genbrug eller bortskaffelse af lagermedier bør der indføres robuste procedurer for at sikre, at PII ikke påvirkes på nogen måde, herunder:
Hvis enheder, der er blevet brugt til at opbevare PII, bliver beskadiget, bør organisationen nøje overveje, om det er mere hensigtsmæssigt at ødelægge sådanne medier eller sende det til reparation (fejler på siden af førstnævnte).
ISO advarer organisationer mod at bruge ukrypterede lagerenheder til enhver PII-relaterede aktiviteter.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
Vi er omkostningseffektive og hurtige
Se afsnittet ovenfor om ISO 27701, paragraf 6.5.3.1
Hvis medier skal bortskaffes fra tidligere PII, bør organisationer implementere procedurer, der dokumenterer ødelæggelsen af PII og privatlivsrelaterede data, herunder kategoriske forsikringer om, at de ikke længere er tilgængelige.
Organisationer bør bruge kryptering til at beskytte fortrolighed, ægthed , integritet af PII og privatlivsrelaterede oplysninger og for at overholde deres forskellige kontraktlige, juridiske eller regulatoriske forpligtelser.
Kryptering er et vidtrækkende koncept – der er ingen 'one size fits all'-tilgang. Organisationer bør vurdere deres behov og vælge en kryptografisk løsning, der opfylder deres unikke kommercielle og operationelle mål.
Organisationer bør overveje:
Nøglestyringsprocedurer bør fordeles på 7 hovedfunktioner:
Organisatoriske nøglestyringssystemer bør:
Organisationer bør udarbejde emnespecifikke politikker, der direkte adresserer, hvordan organisationen sikkerhedskopierer de relevante områder af sit netværk for at sikre PII og forbedre modstandskraften mod privatlivsrelaterede hændelser.
BUDR-procedurer bør udarbejdes for at nå det primære mål om at sikre dette alle forretningskritiske data, software og systemer er i stand til at blive gendannet efterfølgende datatab, indtrængen, forretningsafbrydelse , kritiske fejl.
Som en prioritet bør BUDR-planer:
Organisationer skal udvikle separate procedurer, der udelukkende omhandler PII (omend indeholdt i deres hoved-BUDR-plan).
Regionale afvigelser i PII BUDR-standarder (kontraktlige, juridiske og regulatoriske) bør tages i betragtning, når et nyt job oprettes, jobs ændres eller nye PII-data føjes til BUDR-rutinen.
Når der opstår behov for at gendanne PII efter en BUDR-hændelse, bør organisationer være meget omhyggelige med at returnere PII til dens oprindelige tilstand og gennemgå genoprettelsesaktiviteter for at løse eventuelle problemer med de nye data.
Organisationer bør føre en log over gendannelsesaktivitet, herunder alt personale, der er involveret i gendannelsen, og en beskrivelse af den PII, der er blevet gendannet.
Organisationer bør tjekke med enhver lovgivende eller regulerende instans og sikre, at deres PII-gendannelsesprocedurer er i overensstemmelse med, hvad der forventes af dem som PII-behandler og controller.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
Organisationer skal først identificere og så optage de specifikke årsager til at behandle den PII, de bruger.
PII-princippere skal være fuldt ud fortrolige med alle de forskellige årsager til, hvorfor deres PII bliver behandlet.
Det er organisationens ansvar at formidle disse grunde til PII-rektorer sammen med en 'klar erklæring' om, hvorfor de skal behandle deres oplysninger.
Al dokumentation skal være klar, omfattende og let forståelig af enhver PII-principal, der læser den – inklusive alt, der vedrører samtykke, samt kopier af interne procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 og 7.2.8).
Organisationer skal enten fuldstændigt ødelægge enhver PII, der ikke længere opfylder et formål, eller ændre den på en måde, der forhindrer enhver form for principiel identifikation.
Så snart organisationen konstaterer, at PII ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettet or de-identificeret, som omstændighederne tilsiger.
Fra begyndelsen bør PII kun behandles i overensstemmelse med kundens instruktioner.
Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.
Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 32 (3) | 5.2.1 | Ingen |
EU GDPR artikel 32 (2) | 5.2.3 | Ingen |
EU GDPR artikel 32 (2) | 5.2.4 | Ingen |
EU GDPR artikel 32 (1)(b) og 32 (2) | 5.4.1.2 | Ingen |
EU GDPR artikel 32 (1)(b) | 5.4.1.3 | Ingen |
EU GDPR artikel 32 (1)(a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikel 32 (1)(b) og 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikel 32 (1)(b), 32(1)(d) og 32(2) | 6.15.2.1 | Ingen |
EU GDPR artikel 32 (1)(d) og (32)(2) | 6.15.2.3 | Ingen |
EU GDPR artikel 32 (2) | 6.5.2.1 | Ingen |
EU GDPR artikel 32 (1)(a) | 6.5.3.1 | 5.14 |
EU GDPR artikel 32 (1)(a) | 6.5.3.3 | 5.14 |
EU GDPR artikel 32 (1)(a) | 6.7.1.1 | 5.31 8.24 |
EU GDPR artikel 32 (1)(c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Ingen |
EU GDPR artikel 32 (1)(a) | 7.4.5 | Ingen |
EU GDPR artikel 32 (4) | 8.2.2 | Ingen |
ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret. Du VIL drage fordel af en række kraftfulde tidsbesparende funktioner.
ISMS.online gør det også nemt for dig at springe direkte ind i din rejse til GDPR-overholdelse og nemt at demonstrere et beskyttelsesniveau, der går ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.
Find ud af mere ved booking af en kort 30 minutters demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Opdag den bedste måde at opnå ISMS-succes
Få din gratis guide