Sikring af Privacy by Design og Privacy by Default i ISO 27701 klausul 8.4
ISO 27701 paragraf 8.4 sikrer, at en organisations PII-indsamling og -behandling begrænser indsatsen til det minimum, der kræves, for at opnå et sæt identificerede formål.
ISO 27701 klausul 8.4.1 – Midlertidige filer
Formål med paragraf 8.4.1
Organisationer skal sikre, at midlertidige filer destrueres inden for et rimeligt tidsrum i overensstemmelse med en officiel opbevaringspolitik og klare sletteprocedurer.
Vejledning til punkt 8.4.1
En simpel måde at identificere eksistensen af sådanne filer på er at udføre periodiske kontroller af midlertidige filer på tværs af netværket.
Organisationer bør overholde en såkaldt procedure for affaldsindsamling der sletter midlertidige filer, når de ikke længere er nødvendige.
ISO 27701 klausul 8.4.2 – Returnering, overførsel eller bortskaffelse af PII
Formål med paragraf 8.4.2
Organisationer skal have konkrete planer på plads, der styrer, hvordan PII kan være vendt tilbage, overført or anbragt af og stille alle sådanne politikker til rådighed for kunden.
Vejledning til punkt 8.4.2
Der er forskellige scenarier, der kræver bortskaffelse af PII, herunder (men ikke begrænset til):
- Returnering af enhver PII til kunden.
- Levering af PII til en anden organisation.
- Ødelægge information.
- Afidentifikation.
- Arkivering.
Organisationer skal give kategoriske forsikringer om, at enhver PII, som ikke længere er nødvendig, vil blive ødelagt i overensstemmelse med enhver gældende lovgivning eller regionale retningslinjer.
Alle bortskaffelsespolitikker bør være tilgængelige for kunden på forlangende og bør dække den periode, organisationer skal ødelægge PII, når en kontrakt er blevet opsagt.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 8.4.3 – PII-transmissionskontrol
Formål med paragraf 8.4.3
Når der opstår behov for at PII skal transmitteres over et datanetværk (inklusive et dedikeret link), skal organisationer være optaget af at sikre, at PII når de korrekte modtagere rettidigt.
Vejledning til punkt 8.4.3
Ved overførsel af PII mellem datanetværk bør organisationer:
- Sørg for, at kun autoriserede personer er i stand til at udføre overførslen.
- Hold dig til offentliggjorte procedurer, der styrer overførslen af PII fra organisationen til en tredjepart.
- Gem alle revisionsdata.
- Medtag transmissionskrav i kundens kontrakt.
- Rådfør dig med kunden før enhver overførsel foretages, hvis der ikke findes skriftlige eller kontraktmæssige bestemmelser.
Understøttende GDPR-artikler
Forskellige elementer i ISO 27701 paragraf 8.4 er gældende i Storbritannien GDPR lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | Tilknyttede GDPR-artikler |
|---|---|---|
| 8.4.1 | Midlertidige filer | Artikel (5) |
| 8.4.2 | Returnering, overførsel eller bortskaffelse af PII | Artikler (28), (30) |
| 8.4.3 | PII transmissionskontrol | Artikel (5) |
Hvordan ISMS.online hjælper
ISMS.online platformen tilbyder integreret assistance på alle trin, og vores 'Adopter, Adapt, Add' implementeringstilgang til ISO 27701 for at gøre processen meget lettere. Du vil også drage fordel af en række tidsbesparende funktioner.
Vi har skabt en indbygget risikobank og en række andre praktiske værktøjer, der vil hjælpe med alle dele af risikovurderingen og styringsprocessen.
Du vil være klar, når det værste sker. Vi gør det nemt at planlægge og kommunikere dit brud-workflow og dokumentere og lære af hver eneste hændelse.
Find ud af mere ved booking af en demo.
