GDPR Artikel 5 indeholder den mest mængde information, der skal overvejes fra et ISO-perspektiv.
Artikel 5 kan i vid udstrækning ses som et sæt af underliggende principper, der flyder gennem hele både den britiske og EU-lovgivning, og omfatter adskillige forskellige områder for overholdelse, herunder:
Organisationer skal være fuldt ud fortrolige med artikel 5 for bedre at forstå de subtile nuancer, som GDPR præsenterer på tværs af andre områder af lovgivningen.
Principper vedrørende behandling af personoplysninger
- Personoplysninger skal være:
- a) behandles lovligt, retfærdigt og på en gennemsigtig måde i forhold til den registrerede ("lovlighed, retfærdighed og gennemsigtighed")
- (b) indsamlet til specificerede, eksplicitte og legitime formål og ikke viderebehandlet på en måde, der er uforenelig med disse formål; viderebehandling til arkiveringsformål i almen interesse, videnskabelige eller historiske forskningsformål eller statistiske formål anses i overensstemmelse med artikel 89, stk. 1, ikke for at være uforenelig med de oprindelige formål ("formålsbegrænsning").
- c) tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ("dataminimering");
- d) nøjagtige og om nødvendigt ajourførte der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er unøjagtige i forhold til de formål, hvortil de behandles, slettes eller rettes uden forsinkelse ("nøjagtighed");
- e) opbevares i en form, der tillader identifikation af de registrerede, ikke længere end nødvendigt til de formål, hvortil personoplysningerne behandles personoplysninger kan opbevares i længere perioder, såfremt personoplysningerne udelukkende vil blive behandlet til arkiveringsformål i almen interesse, videnskabelige eller historiske forskningsformål eller statistiske formål i overensstemmelse med artikel 89, stk. foranstaltninger, der kræves i denne forordning for at beskytte den registreredes rettigheder og friheder ("lagringsbegrænsning")
- (f) behandles på en måde, der sikrer passende sikkerhed for personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller beskadigelse, ved brug af passende tekniske eller organisatoriske foranstaltninger ("integritet og fortrolighed").
- Den registeransvarlige skal være ansvarlig for og være i stand til at påvise overholdelse af stk. 1 ("ansvarlighed").
Fra et teknisk perspektiv giver artikel 5 stort set den retlige ramme, inden for hvilken organisationer bør operere, for at forblive kompatible, på tværs af seks vejledende principper:
Selvom det er utroligt vagt, er 'retfærdighed' et overordnet krav i GDPR og fungerer som et fortolkningsværktøj til situationer, der måske ikke er i strid med lovens bogstav, men tydeligvis ikke 'fair' set fra et individs og deres perspektiv. rettigheder.
'Transparens' kræver, at den registrerede er fuldt ud klar over behandlingen af deres data. GDPR kræver, at oplysninger givet til den registrerede skal leveres inden for en rimelig tidsramme, let tilgængelig og fri for fejl.
GDPR artikel 5 fastslår, at alle indsamlede personlige data bør begrænses til meget specifikke og legitime formål og ikke må genanvendes til andre formål end det oprindeligt var tiltænkt.
Dataminimering i henhold til GDPR Artikel 5 er defineret under to begreber – 'behandling' og 'formål'. Grundlæggende skal organisationer sikre, at de kun behandler data til minimumsniveauet for at opfylde dets oprindelige formål.
Data skal til enhver tid holdes nøjagtige og ajourførte. Hvis data viser sig at være unøjagtige, hedder det i artikel 5, at organisationer skal tage "rimelige skridt" for at rette op på eventuelle fejl, der er begået. Alt i alt skal enkeltpersoner være korrekt repræsenteret af de data, der opbevares på dem, så eventuelle beslutninger, der træffes, ikke tages på baggrund af et forkert indtryk af, hvem de er.
Organisationer skal være opmærksomme på, at behandlingsoperationer ikke bør fortsætte for evigt. Når et indledende sæt af mål er opfyldt, bør databehandling stoppe. For at opnå dette bør organisationer definere lagringstider, før de behandler data.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Informationsoverførsel bør:
Når organisationer benytter elektroniske overførselsfaciliteter, bør:
Ved overførsel af fysiske medier (herunder papirdokumenter) mellem lokaler eller eksterne lokationer, bør organisationer:
Verbalt formidling af følsomme oplysninger udgør en unik sikkerhedsrisiko, især når det drejer sig om PII og privatlivsbeskyttelse.
Organisationer bør minde medarbejderne om at:
Organisationer bør anvende fortrolighedsaftaler (NDA'er) og fortrolighedsaftaler for at beskytte bevidst eller utilsigtet videregivelse af følsomme oplysninger til uautoriseret personale.
Når organisationer udarbejder, implementerer og vedligeholder sådanne aftaler, bør de:
Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 Controls 5.31, 5.32, 5.33 og 5.34).
Applikationssikkerhedsprocedurer bør udvikles sammen med bredere privatlivsbeskyttelsespolitikker, normalt via en struktureret risikovurdering, der tager højde for flere variabler.
Applikationssikkerhedskrav bør omfatte:
Transaktionstjenester, der letter strømmen af privatlivsdata mellem organisationen og en tredjepartsorganisation eller partnerorganisation, bør:
For alle applikationer, der involverer elektronisk bestilling og/eller betaling, bør organisationer:
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
Organisationer bør omhyggeligt udvælge testdata for at sikre, at testaktiviteten er både pålidelig og sikker. Organisationer bør være ekstra opmærksomme på at sikre, at PII ikke kopieres ind i udviklings- og testmiljøerne.
For at beskytte driftsdata under testaktiviteter bør organisationer:
Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.
I den forbindelse bør organisationer:
Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.
For at skabe en sammenhængende, velfungerende hændelsesstyringspolitik, der sikrer tilgængeligheden og integriteten af privatlivsoplysninger under kritiske hændelser, bør organisationer:
Personale, der er involveret i hændelser vedrørende privatlivsinformationssikkerhed, bør forstå:
Når personalet beskæftiger sig med hændelser vedrørende privatlivsinformationssikkerhed, bør:
Rapporteringsaktiviteter bør være centreret omkring 4 nøgleområder:
Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.
Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:
Organisationer bør følge procedurer, der tillader dem identificere, analysere , forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.
Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.
Når de implementerer krypteringsmetoder for at styrke beskyttelsen af privatlivets fred og beskytte PII, bør organisationer:
Organisationer bør overveje rekordhåndtering på tværs af 4 nøgleområder:
For at opretholde et funktionelt journalsystem, der beskytter PII og privatlivsrelaterede oplysninger, bør organisationer:
Organisationer bør implementere emnespecifikke politikker, der omhandler forskellige kategorier af slutpunktsenheder og softwareversioner til mobilenheder, og hvordan sikkerhedskontrol bør skræddersyes til at forbedre datasikkerheden.
En organisations politik for mobilenheder, procedurer og understøttende sikkerhedsforanstaltninger bør tage hensyn til:
Alle i organisationen, der bruger fjernadgang, skal gøres eksplicit opmærksomme på enhver mobilenhedspolitik og -procedurer, der gælder for dem inden for rammerne af sikker styring af endpoint-enheder.
Brugere skal instrueres i at:
Organisationer, der tillader personale at bruge personligt ejede enheder, bør også overveje følgende sikkerhedskontroller:
Når organisationer udarbejder procedurer, der omhandler trådløs forbindelse på slutpunktsenheder, bør organisationer:
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
I stedet for at stille al information på lige fod, bør organisationen klassificere information på et emnespecifikt grundlag.
Informationsejere bør overveje fire nøglefaktorer, når de klassificerer data (især vedrørende PII), som bør gennemgås med jævne mellemrum, eller når sådanne faktorer ændres:
For at give en klar operationel ramme bør informationskategorier navngives i overensstemmelse med det iboende risikoniveau, hvis der skulle opstå hændelser, der kompromitterer nogen af ovenstående faktorer.
For at sikre kompatibilitet på tværs af platforme bør organisationer gøre deres informationskategorier tilgængelige for eksternt personale, som de deler information med, og sikre, at organisationens eget klassifikationssystem er bredt forstået af alle relevante parter.
Organisationer bør være på vagt over for enten at underklassificere eller omvendt overklassificere data. Førstnævnte kan føre til fejl ved gruppering af PII med mindre følsomme datatyper, mens førstnævnte ofte fører til ekstra omkostninger, en større chance for menneskelige fejl og behandlingsanomalier.
Etiketter er en central del af at sikre, at organisationens PII-klassificeringspolitik (se ovenfor) bliver overholdt, og at data tydeligt kan identificeres i overensstemmelse med deres følsomhed (f.eks. mærkes PII adskilt fra mindre fortrolige datatyper).
PII-mærkningsprocedurer bør definere:
ISO giver masser af muligheder for organisationer til at vælge deres egne mærkningsteknikker, herunder:
Når organisationer udvikler politikker, der styrer håndteringen af medieaktiver, der er involveret i lagring af PII, bør organisationer:
Ved genbrug, genbrug eller bortskaffelse af lagermedier bør der indføres robuste procedurer for at sikre, at PII ikke påvirkes på nogen måde, herunder:
Hvis enheder, der er blevet brugt til at opbevare PII, bliver beskadiget, bør organisationen nøje overveje, om det er mere hensigtsmæssigt at ødelægge sådanne medier eller sende det til reparation (fejler på siden af førstnævnte).
Se ISO 27701 klausul 6.5.3.1
Hvis medier skal bortskaffes fra tidligere PII, bør organisationer implementere procedurer, der dokumenterer ødelæggelsen af PII og privatlivsrelaterede data, herunder kategoriske forsikringer om, at de ikke længere er tilgængelige.
Når organisationer implementerer politikker, der omhandler flytbare medier, bør organisationer:
Organisationer bør føre grundige fortegnelser over alle lagringsmedier, der bruges til at behandle følsomme oplysninger, herunder:
Under hele processen med genbrug, genbrug eller bortskaffelse af lagermedier bør organisationer:
Brugerregistrering er styret af brugen af tildelte 'identiteter'. Identiteter giver organisationer en ramme til at styre brugeradgang til PII og privatlivsrelaterede aktiver og materiale inden for et netværks grænser.
Organisationen skal følge seks hovedvejledningspunkter for at sikre, at identiteter administreres korrekt, og PII er beskyttet, uanset hvor det gemmes, behandles eller tilgås:
Organisationer, der arbejder i partnerskab med eksterne organisationer (især cloud-baserede platforme), bør forstå de iboende risici forbundet med sådan praksis og tage skridt til at sikre, at PII ikke påvirkes negativt i processen (se ISO 27002 kontrol 5.19 og 5.17).
Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.
Vi er omkostningseffektive og hurtige
'Adgangsrettigheder' styrer, hvordan adgang til PII og privatlivsrelaterede oplysninger både gives og tilbagekaldes ved at bruge det samme sæt af vejledende principper.
Adgangsprocedurer bør omfatte:
Organisationer bør foretage periodiske gennemgange af adgangsrettigheder på tværs af netværket, herunder:
Personale, der enten forlader organisationen (enten forsætligt eller som en opsagt medarbejder), og dem, der er genstand for en ændringsanmodning, bør have deres adgangsrettigheder ændret baseret på robuste risikostyringsprocedurer, herunder:
Ansættelseskontrakter og entreprenør-/servicekontrakter bør indeholde en forklaring på, hvad der sker efter ethvert forsøg på uautoriseret adgang (se ISO 27002 kontrol 5.20, 6.2, 6.4, 6.6).
PII og privatlivsrelaterede aktiver skal gemmes på et netværk, der har en række godkendelseskontroller, herunder:
For at forhindre og minimere risikoen for uautoriseret adgang til PII bør organisationer:
PII og privatlivsrelaterede oplysninger er særligt udsatte, når der opstår behov for enten at bortskaffe eller genbruge opbevarings- og behandlingsaktiver – enten internt eller i samarbejde med en specialiseret tredjepartsudbyder.
Frem for alt skal organisationer sikre, at ethvert lagermedie, der er markeret til bortskaffelse, som har indeholdt PII, skal fysisk ødelagt, udslettet or overskrevet (se ISO 27002 kontrol 7.10 og 8.10).
For at forhindre, at PII på nogen måde bliver kompromitteret, bør organisationer, når de bortskaffer eller genbruger aktiver:
PII og privatlivsrelaterede oplysninger er særligt i fare, når skødesløst personale og tredjepartsleverandører undlader at overholde sikkerhedsforanstaltninger på arbejdspladsen, der beskytter mod utilsigtet eller bevidst visning af PII af uautoriseret personale.
Organisationer bør udarbejde emnespecifikke politikker for klar skrivebord og klare skærme (om nødvendigt på et arbejdsområde-for-arbejdsområde-basis), der omfatter:
Når organisationer kollektivt forlader lokaler – som fx under en kontorflytning eller lignende flytning – bør jeg bestræbe mig på at sikre, at der ikke efterlades dokumentation, hverken i skriveborde og arkivsystemer, eller noget, der måtte være faldet på uklare steder.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Brug 30 minutter på at se, hvordan ISMS.online sparer dig timer (og timer!)
Book et mødeOrganisationer bør udarbejde emnespecifikke politikker, der direkte adresserer, hvordan organisationen sikkerhedskopierer de relevante områder af sit netværk for at sikre PII og forbedre modstandskraften mod privatlivsrelaterede hændelser.
BUDR-procedurer bør udarbejdes for at nå det primære mål om at sikre dette alle forretningskritiske data, software og systemer er i stand til at blive gendannet efterfølgende datatab, indtrængen, forretningsafbrydelse , kritiske fejl.
Som en prioritet bør BUDR-planer:
Organisationer skal udvikle separate procedurer, der udelukkende omhandler PII (omend indeholdt i deres hoved-BUDR-plan).
Regionale afvigelser i PII BUDR-standarder (kontraktlige, juridiske og regulatoriske) bør tages i betragtning, når et nyt job oprettes, jobs ændres eller nye PII-data føjes til BUDR-rutinen.
Når der opstår behov for at gendanne PII efter en BUDR-hændelse, bør organisationer være meget omhyggelige med at returnere PII til dens oprindelige tilstand og gennemgå genoprettelsesaktiviteter for at løse eventuelle problemer med de nye data.
Organisationer bør føre en log over gendannelsesaktivitet, herunder alt personale, der er involveret i gendannelsen, og en beskrivelse af den PII, der er blevet gendannet.
Organisationer bør tjekke med enhver lovgivende eller regulerende instans og sikre, at deres PII-gendannelsesprocedurer er i overensstemmelse med, hvad der forventes af dem som PII-behandler og controller.
ISO definerer en 'hændelse' som enhver handling udført af en digital eller fysisk tilstedeværelse/entitet på et computersystem.
Hændelseslogfiler skal indeholde:
ISO identificerer 11 hændelser/komponenter, der kræver logning (og knyttet til samme tidskilde – se ISO 27002 Kontrol 8.17), for at opretholde PII-sikkerhed og forbedre organisatorisk beskyttelse af privatlivets fred:
Logfiler skal beskyttes mod uautoriserede ændringer eller driftsforstyrrelser, herunder:
Organisationer bør engagere sig i følgende teknikker for at forbedre log-baseret sikkerhed:
Når der opstår behov for at levere logfiler til eksterne organisationer, bør der træffes strenge foranstaltninger for at beskytte PII og privatlivsrelaterede oplysninger i overensstemmelse med accepterede databeskyttelsesstandarder (se ISO 27002 Kontrol 5.34 og yderligere vejledning nedenfor).
Logs vil skulle analyseres fra tid til anden for at forbedre beskyttelsen af privatlivets fred i det hele taget og for både at løse og forhindre sikkerhedsbrud.
Når de udfører loganalyse, bør organisationer tage hensyn til:
Logovervågning giver organisationer mulighed for at beskytte PII ved kilden og fremme en proaktiv tilgang til beskyttelse af privatlivets fred.
Organisationer bør:
ISO kræver, at organisationer overvåger logfiler vedrørende PII gennem en 'kontinuerlig og automatiseret overvågnings- og alarmeringsproces'. Dette kan nødvendiggøre et separat sæt procedurer, der overvåger adgangen til PII.
Organisationer bør sikre, at logfiler – som en prioritet – giver en klar redegørelse for adgang til PII, herunder:
Organisationer bør besluttehvis, hvornår og hvordan' PII-logoplysninger bør gøres tilgængelige for kunderne, idet alle kriterier stilles frit til rådighed for principperne selv, og der skal tages stor omhu for at sikre, at PII-princippere kun er i stand til at få adgang til oplysninger vedrørende dem.
Se ISO 27701 klausul 6.9.4.1
Organisationer bør dedikere megen opmærksomhed mod at sikre, at logfiler, der indeholder PII, er korrekt kontrolleret og drage fordel af sikker overvågning.
Der bør indføres automatiserede procedurer, der enten sletter eller 'afidentificerer' logfiler i overensstemmelse med en offentliggjort opbevaringspolitik (se ISO 27002 kontrol 7.4.7).
PII-princippere skal være fuldt ud fortrolige med alle de forskellige årsager til, hvorfor deres PII bliver behandlet.
Det er organisationens ansvar at formidle disse grunde til PII-rektorer sammen med en 'klar erklæring' om, hvorfor de skal behandle deres oplysninger.
Al dokumentation skal være klar, omfattende og let forståelig af enhver PII-principal, der læser den – inklusive alt, der vedrører samtykke, samt kopier af interne procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 og 7.2.8).
ISMS.online vil spare dig tid og penge
Få dit tilbudFor at danne et retsgrundlag for behandling af PII bør organisationer:
For hvert punkt nævnt ovenfor bør organisationer kunne tilbyde dokumenteret bekræftelse
Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).
Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.
Organisationer skal indgå skriftlige, bindende kontrakter med enhver ekstern PII-behandler, som den bruger.
Alle kontrakter skal sikre, at PII-behandleren implementerer alle de nødvendige oplysninger indeholdt i ISO 27701 Annex B, med særlig opmærksomhed på risikovurderingskontroller (ISO 27701, punkt 5.4.1.2) og det overordnede omfang af behandlingsaktiviteterne (se ISO 27701, punkt 6.12 ).
Organisationer skal være i stand til at retfærdiggøre udeladelsen af kontroller indeholdt i bilag B i deres forhold til PII-behandleren (se ISO 27701, punkt 5.4.1.3).
Organisationer skal opretholde et grundigt sæt af registreringer, der understøtter deres handlinger og forpligtelser som PII-behandler.
Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:
Organisationer bør udarbejde, dokumentere og implementere procedurer, der tillader PII-princippere at få adgang til, rette og/eller slette deres PII.
Procedurer bør omfatte mekanismer, hvorigennem PII-principperen er i stand til at udføre ovenstående handling, herunder hvordan organisationen skal informere rektor, hvis rettelser ikke kan foretages.
Organisationer bør forpligte sig til en offentliggjort responstid for alle anmodninger om adgang, rettelser eller sletning.
Det er meget vigtigt at kommunikere sådanne anmodninger til tredjeparter, der er blevet overført PII (se ISO 27701 paragraf 7.3.7).
En PII-forhandlers evne til at anmode om rettelser eller sletninger er dikteret af den jurisdiktion, som organisationen opererer i. Som sådan bør virksomheder holde sig orienteret om eventuelle juridiske eller regulatoriske ændringer, der styrer deres forpligtelser over for PII.
Organisationer bør begrænse deres indsamling af PII baseret på tre faktorer:
Organisationer bør kun indsamle PII – enten direkte eller indirekte – i overensstemmelse med ovenstående faktorer, og kun til formål, der er relevante og nødvendige i forhold til deres erklærede formål.
Som et koncept bør 'privatliv som standard' overholdes – dvs. eventuelle valgfrie funktioner skal som standard deaktiveres.
Organisationer bør tage skridt til at sikre, at PII er nøjagtige, fuldstændige og opdaterede gennem hele dens livscyklus.
Organisatoriske informationssikkerhedspolitikker og tekniske konfigurationer bør indeholde trin, der søger at minimere fejl i hele dens PII-behandling, herunder kontrol med, hvordan man reagerer på unøjagtigheder.
Organisationer skal konstruere "dataminimeringsprocedurer", herunder mekanismer såsom afidentifikation.
Dataminimering bør bruges til at sikre, at indsamling og behandling af PII er begrænset til det 'identificerede formål' for hver funktion (se ISO 27701, punkt 7.2.1).
En stor del af denne proces involverer at dokumentere, i hvilket omfang en PII principal information skal kunne henføres direkte til dem, og hvordan minimering skal opnås via en række tilgængelige metoder.
Organisationer bør skitsere de specifikke teknikker, der bruges til at afidentificere PII-principper, såsom:
Organisationer skal enten fuldstændigt ødelægge enhver PII, der ikke længere opfylder et formål, eller ændre den på en måde, der forhindrer enhver form for principiel identifikation.
Så snart organisationen har fastslået, at PII'en ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettet or de-identificeret, som omstændighederne tilsiger.
Midlertidige filer oprettes af en række tekniske årsager gennem hele PII-behandlingen og indsamlingens livscyklus på tværs af adskillige applikationer, systemer og sikkerhedsplatforme.
Organisationer skal sikre, at disse filer destrueres inden for et rimeligt tidsrum i overensstemmelse med en officiel opbevaringspolitik.
En simpel måde at identificere eksistensen af sådanne filer på er at udføre periodiske kontroller af midlertidige filer på tværs af netværket. Midlertidige filer inkluderer ofte:
Organisationer bør overholde en såkaldt procedure for affaldsindsamling der sletter midlertidige filer, når de ikke længere er nødvendige.
Organisationer skal have klare politikker og procedurer, der styrer, hvordan PII bortskaffes.
Databortskaffelse er et vidtfavnende emne, der indeholder et væld af forskellige variabler baseret på den nødvendige bortskaffelsesteknik og arten af de data, der bortskaffes.
Organisationer skal overveje:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi er omkostningseffektive og hurtige
Enhver PII, der er indstillet til at blive overført til en tredjepartsorganisation, skal gøres med den største omhu for de oplysninger, der sendes, ved hjælp af sikre midler.
Organisationer skal sikre, at kun autoriseret personale er i stand til at få adgang til transmissionssystemer, og det gør det på en måde, der let kan revideres med det ene formål at få informationen derhen, hvor den skal hen uden hændelser.
Fra begyndelsen bør PII kun behandles i overensstemmelse med kundens instruktioner.
Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.
Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.
Organisationer skal sikre, at midlertidige filer destrueres inden for et rimeligt tidsrum i overensstemmelse med en officiel opbevaringspolitik og klare sletteprocedurer.
En simpel måde at identificere eksistensen af sådanne filer på er at udføre periodiske kontroller af midlertidige filer på tværs af netværket.
Organisationer bør overholde en såkaldt procedure for affaldsindsamling der sletter midlertidige filer, når de ikke længere er nødvendige.
Når der opstår behov for at PII skal transmitteres over et datanetværk (inklusive et dedikeret link), skal organisationer være optaget af at sikre, at PII når de korrekte modtagere rettidigt.
Ved overførsel af PII mellem datanetværk bør organisationer:
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 5(1)(f) | 6.10.2.1 | 5.13 8.7 8.24 |
EU GDPR artikel 5, stk. | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU GDPR artikel 5(1)(f) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikel 5(1)(f) | 6.11.3.1 | 8.10 8.11 |
EU GDPR artikel 5(1)(f) | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikel 5(1)(f) | 6.15.1.1 | 5.20 |
EU GDPR artikel 5 (2) | 6.15.1.3 | Ingen |
EU GDPR artikel 5(1)(f) | 6.3.2.1 | 8.9 8.16 |
EU GDPR artikel 5(1)(f) | 6.5.2.1 | Ingen |
EU GDPR artikel 5(1)(f) | 6.5.2.2 | Ingen |
EU GDPR artikel 5(1)(f) | 6.5.3.1 | 5.14 |
EU GDPR artikel 5(1)(f) | 6.5.3.2 | 5.14 |
EU GDPR artikel 5(1)(f) | 6.6.2.1 | 5.17 5.19 |
EU GDPR artikel 5(1)(f) | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU GDPR artikel 5(1)(f) | 6.6.4.2 | Ingen |
EU GDPR artikel 5(1)(f) | 6.8.2.7 | 7.10 8.10 |
EU GDPR artikel 5(1)(f) | 6.8.2.9 | Ingen |
EU GDPR artikel 5(1)(f) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikel 5(1)(f) | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU GDPR artikel 5(1)(f) | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU GDPR artikel 5 (1)(b) | 7.2.1 | Ingen |
EU GDPR artikel 5 (1)(a) | 7.2.2 | Ingen |
EU GDPR artikel 5 (2) | 7.2.8 | Ingen |
EU GDPR artikel 5 (1)(d) | 7.3.6 | Ingen |
EU GDPR artikel 5 (1)(b) | 7.4.1 | Ingen |
EU GDPR artikel 5 (1)(d) | 7.4.3 | Ingen |
EU GDPR artikel 5 (1)(c) | 7.4.4 | Ingen |
EU GDPR artikel 5 (1)(c), 5(1)(e) | 7.4.5 | Ingen |
EU GDPR artikel 5 (1)(c) | 7.4.6 | Ingen |
EU GDPR artikel 5 (1)(f) | 7.4.8 | Ingen |
EU GDPR artikel 5 (1)(f) | 7.4.9 | Ingen |
EU GDPR artikel 5 (1)(a), 5(1)(b) | 8.2.2 | Ingen |
EU GDPR artikel 5 (1)(c) | 8.4.1 | Ingen |
EU GDPR artikel 5 (1)(f) | 8.4.3 | Ingen |
Din komplette GDPR-løsning.
Et præbygget miljø, der passer problemfrit ind i dit ledelsessystem, giver dig mulighed for at beskrive og demonstrere din tilgang til beskyttelse af europæiske og britiske kundedata.
Med ISMS.online kan du springe direkte ind i GDPR-overholdelse og demonstrere beskyttelsesniveauer, der går ud over 'rimeligt', alt sammen på ét sikkert sted, der altid er tændt.
I kombination med vores 'Adopter, Adapt, Add' implementeringstilgang tilbyder ISMS.online platformen indbygget vejledning ved hvert trin, hvilket reducerer den indsats, der kræves for at demonstrere din GDPR-overholdelse. En række kraftfulde tidsbesparende funktioner vil også være tilgængelige for dig.
Find ud af mere ved booking af en kort 30 minutters demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Opdag den bedste måde at opnå ISMS-succes
Få din gratis guide