Forstå GDPR artikkel 25: Databeskyttelse ved design og ved standard
GDPR Artikkel 25 omhandler databeskyttelse ved design og som standard.
Dette konseptet sikrer at behandlingsansvarlig vurderer personvernet til en registrert person i alle ledd av driften, og utformer databehandlingsoperasjoner som setter GDPR i hjertet av et sett med mål.
For å oppnå dette må organisasjoner først definere et distinkt sett med personvernmål, før de foretar utviklingen og påfølgende implementeringen av en databehandlingsoperasjon (eller, ved proxy, et produkt).
GDPR artikkel 25 juridisk tekst
EU GDPR-versjon
Databeskyttelse ved design og som standard
- Under hensyntagen til teknikkens stand, kostnadene ved gjennomføringen og behandlingens art, omfang, kontekst og formål, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer som behandlingen utgjør, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene for behandling og på tidspunktet for selve behandlingen, implementere passende tekniske og organisatoriske tiltak, for eksempel pseudonymisering, som er utformet for å implementere databeskyttelsesprinsipper, for eksempel dataminimering, på en effektiv måte. måte og for å integrere nødvendige sikkerhetstiltak i behandlingen for å oppfylle kravene i denne forordningen og beskytte rettighetene til registrerte.
- Den behandlingsansvarlige skal iverksette passende tekniske og organisatoriske tiltak for å sikre at det som standard kun behandles personopplysninger som er nødvendige for hvert enkelt formål med behandlingen. Denne forpliktelsen gjelder mengden personopplysninger som samles inn, omfanget av behandlingen, lagringsperioden og tilgjengeligheten. Spesielt skal slike tiltak sikre at personopplysninger som standard ikke gjøres tilgjengelige uten den enkeltes inngripen for et ubestemt antall fysiske personer.
- En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 og 2 i denne artikkelen.
UK GDPR-versjon
Databeskyttelse ved design og som standard
- Under hensyntagen til teknikkens stand, kostnadene ved gjennomføringen og behandlingens art, omfang, kontekst og formål, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer som behandlingen utgjør, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene for behandling og på tidspunktet for selve behandlingen, implementere passende tekniske og organisatoriske tiltak, for eksempel pseudonymisering, som er utformet for å implementere databeskyttelsesprinsipper, for eksempel dataminimering, på en effektiv måte. måte og for å integrere nødvendige sikkerhetstiltak i behandlingen for å oppfylle kravene i denne forordningen og beskytte rettighetene til registrerte.
- Den behandlingsansvarlige skal iverksette passende tekniske og organisatoriske tiltak for å sikre at det som standard kun behandles personopplysninger som er nødvendige for hvert enkelt formål med behandlingen. Denne forpliktelsen gjelder mengden personopplysninger som samles inn, omfanget av behandlingen, lagringsperioden og tilgjengeligheten. Spesielt skal slike tiltak sikre at personopplysninger som standard ikke gjøres tilgjengelige uten den enkeltes inngripen for et ubestemt antall fysiske personer.
- En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 og 2 i denne artikkelen.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Teknisk kommentar
Når en organisasjon tar sikte på å lage en databehandlingsoperasjon som overholder databeskyttelsen "by design" og "som standard", er det flere viktige faktorer å ta hensyn til:
- Teknologisk utvikling.
- Gjennomføringskostnad.
- Arten av operasjonen (kontekst og formål).
- Risikoer og individets friheter.
- Omfang (dvs. hvor data skal samles inn).
- Dataminimering.
- Konseptet "passende" tiltak.
ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 25 (3)
Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.
Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.
Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.
Dette inkluderer:
- Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser".
- Ta hensyn til organisasjonens unike sett med krav knyttet til hva slags produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer.
- Eventuelle administrative faktorer, inkludert den daglige driften av selskapet.
- Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.
ISO 27701 klausul 6.10.2.4 (avtaler om konfidensialitet eller taushetsplikt) og EU GDPR artikkel 25 (1)(f)
Organisasjoner bør bruke taushetserklæringer (NDAer) og konfidensialitetsavtaler for å beskytte forsettlig eller utilsiktet avsløring av sensitiv informasjon til uautorisert personell.
Når organisasjoner utarbeider, implementerer og vedlikeholder slike avtaler, bør:
- Gi en definisjon av informasjonen som skal beskyttes.
- Angi tydelig forventet varighet av avtalen.
- Angi tydelig eventuelle nødvendige handlinger når en avtale er avsluttet.
- Eventuelle forpliktelser som er avtalt av bekreftede underskrivere.
- Eierskap til informasjon (inkludert IP og forretningshemmeligheter).
- Hvordan underskrivere har lov til å bruke informasjonen.
- Beskriv tydelig organisasjonens rett til å overvåke konfidensiell informasjon.
- Eventuelle konsekvenser som vil oppstå av manglende overholdelse.
- Gjennomgå regelmessig deres behov for konfidensialitet, og justere eventuelle fremtidige avtaler deretter.
Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 Kontroller 5.31, 5.32, 5.33 og 5.34).
Støtter ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.11.2.1 (Secure Development Policy) og EU GDPR artikkel 25 (1)
Organisasjoner må sikre at utviklingslivssyklusen er skapt med personvern i tankene.
For å oppnå dette bør organisasjoner:
- Operer med separate utviklings-, test- og utviklingsmiljøer (se ISO 27002 Kontroll 8.31).
- Publiser veiledning om personvern gjennom hele utviklingens livssyklus, inkludert metoder, retningslinjer for koding og programmeringsspråk (se ISO 27002 kontroller 8.28, 8.27 og 5.8).
- Skisser sikkerhetskrav i spesifikasjons- og designfasen (se ISO 27002 Kontroll 5.8).
- Implementere sikkerhetssjekkpunkter i alle relevante prosjekter (se ISO 27002 Kontroll 5.8).
- Foreta system- og sikkerhetstesting, inkludert kodeskanning og penetrasjonstester (se ISO 27002 kontroll 5.8).
- Tilby sikre depoter for all kildekode (se ISO 27002 kontroller 8.4 og 8.9).
- Utøv strenge versjonskontrollprosedyrer (se ISO 27002 kontroll 8.32).
- Tilby personalet personvern og opplæring i applikasjonssikkerhet (se ISO 27002 Kontroll 8.28).
- Analyser en utvikleres evne til å lokalisere, redusere og utrydde sårbarheter (se ISO 27002-kontroll 8.28).
- Dokumenter eventuelle gjeldende eller fremtidige lisensieringskrav (se ISO 27002 Kontroll 8.30).
Støtter ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.11.2.5 (Sikkert utviklingsmiljø) og EU GDPR artikkel 25 (1)
Organisasjonssystemet bør utformes, dokumenteres, implementeres og vedlikeholdes med personvern i tankene:
Tekniske prinsipper bør analysere:
- Et bredt spekter av sikkerhetskontroller som kreves for å beskytte PII mot spesifikke og generaliserte trusler.
- Hvor godt utstyrt sikkerhetskontroller er for å håndtere store sikkerhetshendelser.
- Målrettede kontroller som er forskjellige for individuelle forretningsprosesser.
- Hvor på nettverket og hvordan sikkerhetskontroller bør implementeres.
- Hvordan ulike kontroller fungerer i harmoni med hverandre.
Tekniske prinsipper bør ta hensyn til:
- Arkitektonisk integrasjon.
- Tekniske sikkerhetstiltak (kryptering, IAM, DAM osv.)
- Hvor godt rustet organisasjonen er til å implementere og vedlikeholde den valgte løsningen.
- Bransje retningslinjer for beste praksis.
Sikker systemutvikling bør omfatte:
- Veletablerte industristandard arkitektoniske prinsipper.
- En omfattende designgjennomgang som påviser sårbarheter og bidrar til å danne en ende-til-ende-tilnærming til overholdelse.
- Full avsløring av eventuelle sikkerhetskontroller som ikke oppfyller de forventede kravene.
- Systemherding.
Organisasjoner bør som standard mot en "null tillit"-tilnærming til sikkerhet.
Der organisasjonen outsourcer utvikling til tredjepartsorganisasjoner, bør det arbeides for å sikre at partnerens sikkerhetsprinsipper er i tråd med organisasjonens egne.
Støtter ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 7.4.2 (Begrensningsbehandling) og EU GDPR artikkel 25 (2)
Organisasjoner bør også bare behandle PII hvis det er relevant, proporsjonalt og nødvendig for å oppfylle et uttalt formål, inkludert:
- Formidling.
- Oppbevaring.
- Tilgjengelighet.
Støtter ISO 27701-klausuler og ISO 27002-kontroller
| GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
|---|---|---|
| EU GDPR artikkel 25 (3) | ISO 27701 | none |
| EU GDPR artikkel 25 (1)(f) | ISO 27701 |
ISO 27002 ISO 27002 ISO 27002 ISO 27002 |
| EU GDPR artikkel 25 (1) | ISO 27701 |
ISO 27002 ISO 27002 ISO 27002 ISO 27002 ISO 27002 ISO 27002 ISO 27002 |
| EU GDPR artikkel 25 (1) | ISO 27701 |
ISO 27002 ISO 27002 ISO 27002 ISO 27002 |
| EU GDPR artikkel 25 (2) | ISO 27701 | none |
Hvordan ISMS.online hjelper
Vi gir deg et forhåndsbygd miljø der du kan beskrive og demonstrere hvordan du beskytter dataene til dine europeiske og britiske kunder.
ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert.
Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
- ROPA gjort enkelt
- Vurderingsmaler
- En sikker plass for DRR (Data Subject Rights Requests)
- Håndtering av brudd
Finn ut mer av bestilling av en kort 30 minutters demo.
