Hvordan demonstrere samsvar med GDPR artikkel 25

Databeskyttelse ved design og som standard

Bestill en demonstrasjon

ung,kvinnelig,gründer,frilanser,jobber,bruker,en,bærbar datamaskin,i,coworking

GDPR Artikkel 25 omhandler databeskyttelse ved design og som standard.

Dette konseptet sikrer at behandlingsansvarlig vurderer personvernet til en registrert person i alle ledd av driften, og utformer databehandlingsoperasjoner som setter GDPR i hjertet av et sett med mål.

For å oppnå dette må organisasjoner først definere et distinkt sett med personvernmål, før de foretar utviklingen og påfølgende implementeringen av en databehandlingsoperasjon (eller, ved proxy, et produkt).

GDPR artikkel 25 juridisk tekst

EU GDPR-versjon

Databeskyttelse ved design og som standard

  1. Under hensyntagen til teknikkens stand, kostnadene ved gjennomføringen og behandlingens art, omfang, kontekst og formål, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer som behandlingen utgjør, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene for behandling og på tidspunktet for selve behandlingen, implementere passende tekniske og organisatoriske tiltak, for eksempel pseudonymisering, som er utformet for å implementere databeskyttelsesprinsipper, for eksempel dataminimering, på en effektiv måte. måte og for å integrere nødvendige sikkerhetstiltak i behandlingen for å oppfylle kravene i denne forordningen og beskytte rettighetene til registrerte.

  2. Den behandlingsansvarlige skal iverksette passende tekniske og organisatoriske tiltak for å sikre at det som standard kun behandles personopplysninger som er nødvendige for hvert enkelt formål med behandlingen. Denne forpliktelsen gjelder mengden personopplysninger som samles inn, omfanget av behandlingen, lagringsperioden og tilgjengeligheten. Spesielt skal slike tiltak sikre at personopplysninger som standard ikke gjøres tilgjengelige uten den enkeltes inngripen for et ubestemt antall fysiske personer.

  3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 og 2 i denne artikkelen.

UK GDPR-versjon

Databeskyttelse ved design og som standard

  1. Under hensyntagen til teknikkens stand, kostnadene ved gjennomføringen og behandlingens art, omfang, kontekst og formål, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for rettigheter og friheter til fysiske personer som behandlingen utgjør, skal den behandlingsansvarlige, både på tidspunktet for fastsettelse av midlene for behandling og på tidspunktet for selve behandlingen, implementere passende tekniske og organisatoriske tiltak, for eksempel pseudonymisering, som er utformet for å implementere databeskyttelsesprinsipper, for eksempel dataminimering, på en effektiv måte. måte og for å integrere nødvendige sikkerhetstiltak i behandlingen for å oppfylle kravene i denne forordningen og beskytte rettighetene til registrerte.

  2. Den behandlingsansvarlige skal iverksette passende tekniske og organisatoriske tiltak for å sikre at det som standard kun behandles personopplysninger som er nødvendige for hvert enkelt formål med behandlingen. Denne forpliktelsen gjelder mengden personopplysninger som samles inn, omfanget av behandlingen, lagringsperioden og tilgjengeligheten. Spesielt skal slike tiltak sikre at personopplysninger som standard ikke gjøres tilgjengelige uten den enkeltes inngripen for et ubestemt antall fysiske personer.

  3. En godkjent sertifiseringsmekanisme i henhold til artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 og 2 i denne artikkelen.

Gå til emnet
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Mark Wightman
Chief Technical Officer Aluma
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

Teknisk kommentar

Når en organisasjon tar sikte på å lage en databehandlingsoperasjon som overholder databeskyttelsen "by design" og "som standard", er det flere viktige faktorer å ta hensyn til:

  • Teknologisk utvikling.

  • Gjennomføringskostnad.

  • Arten av operasjonen (kontekst og formål).

  • Risikoer og individets friheter.

  • Omfang (dvs. hvor data skal samles inn).

  • Dataminimering.

  • Konseptet "passende" tiltak.

ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 25 (3)

Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.

Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.

Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.

Dette inkluderer:

  • Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser".

  • Ta hensyn til organisasjonens unike sett med krav knyttet til hva slags produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer.

  • Eventuelle administrative faktorer, inkludert den daglige driften av selskapet.

  • Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.

ISO 27701 klausul 6.10.2.4 (avtaler om konfidensialitet eller taushetsplikt) og EU GDPR artikkel 25 (1)(f)

Organisasjoner bør bruke taushetserklæringer (NDAer) og konfidensialitetsavtaler for å beskytte forsettlig eller utilsiktet avsløring av sensitiv informasjon til uautorisert personell.

Når organisasjoner utarbeider, implementerer og vedlikeholder slike avtaler, bør:

  • Gi en definisjon av informasjonen som skal beskyttes.

  • Angi tydelig forventet varighet av avtalen.

  • Angi tydelig eventuelle nødvendige handlinger når en avtale er avsluttet.

  • Eventuelle forpliktelser som er avtalt av bekreftede underskrivere.

  • Eierskap til informasjon (inkludert IP og forretningshemmeligheter).

  • Hvordan underskrivere har lov til å bruke informasjonen.

  • Beskriv tydelig organisasjonens rett til å overvåke konfidensiell informasjon.

  • Eventuelle konsekvenser som vil oppstå av manglende overholdelse.

  • Gjennomgå regelmessig deres behov for konfidensialitet, og justere eventuelle fremtidige avtaler deretter.

Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 Kontroller 5.31, 5.32, 5.33 og 5.34).

Støtter ISO 27002 kontroller

  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002

ISO 27701 klausul 6.11.2.1 (Secure Development Policy) og EU GDPR artikkel 25 (1)

Organisasjoner må sikre at utviklingslivssyklusen er skapt med personvern i tankene.

For å oppnå dette bør organisasjoner:

  1. Operer med separate utviklings-, test- og utviklingsmiljøer (se ISO 27002 Kontroll 8.31).

  2. Publiser veiledning om personvern gjennom hele utviklingens livssyklus, inkludert metoder, retningslinjer for koding og programmeringsspråk (se ISO 27002 kontroller 8.28, 8.27 og 5.8).

  3. Skisser sikkerhetskrav i spesifikasjons- og designfasen (se ISO 27002 Kontroll 5.8).

  4. Implementere sikkerhetssjekkpunkter i alle relevante prosjekter (se ISO 27002 Kontroll 5.8).

  5. Foreta system- og sikkerhetstesting, inkludert kodeskanning og penetrasjonstester (se ISO 27002 kontroll 5.8).

  6. Tilby sikre depoter for all kildekode (se ISO 27002 kontroller 8.4 og 8.9).

  7. Utøv strenge versjonskontrollprosedyrer (se ISO 27002 kontroll 8.32).

  8. Tilby personalet personvern og opplæring i applikasjonssikkerhet (se ISO 27002 Kontroll 8.28).

  9. Analyser en utvikleres evne til å lokalisere, redusere og utrydde sårbarheter (se ISO 27002-kontroll 8.28).

  10. Dokumenter eventuelle gjeldende eller fremtidige lisensieringskrav (se ISO 27002 Kontroll 8.30).

Støtter ISO 27002 kontroller

  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

ISO 27701 klausul 6.11.2.5 (Sikkert utviklingsmiljø) og EU GDPR artikkel 25 (1)

Organisasjonssystemet bør utformes, dokumenteres, implementeres og vedlikeholdes med personvern i tankene:

Tekniske prinsipper bør analysere:

  • Et bredt spekter av sikkerhetskontroller som kreves for å beskytte PII mot spesifikke og generaliserte trusler.

  • Hvor godt utstyrt sikkerhetskontroller er for å håndtere store sikkerhetshendelser.

  • Målrettede kontroller som er forskjellige for individuelle forretningsprosesser.

  • Hvor på nettverket og hvordan sikkerhetskontroller bør implementeres.

  • Hvordan ulike kontroller fungerer i harmoni med hverandre.

Tekniske prinsipper bør ta hensyn til:

  1. Arkitektonisk integrasjon.

  2. Tekniske sikkerhetstiltak (kryptering, IAM, DAM osv.)

  3. Hvor godt rustet organisasjonen er til å implementere og vedlikeholde den valgte løsningen.

  4. Bransje retningslinjer for beste praksis.

Sikker systemutvikling bør omfatte:

  • Veletablerte industristandard arkitektoniske prinsipper.

  • En omfattende designgjennomgang som påviser sårbarheter og bidrar til å danne en ende-til-ende-tilnærming til overholdelse.

  • Full avsløring av eventuelle sikkerhetskontroller som ikke oppfyller de forventede kravene.

  • Systemherding.

Organisasjoner bør som standard mot en "null tillit"-tilnærming til sikkerhet.

Der organisasjonen outsourcer utvikling til tredjepartsorganisasjoner, bør det arbeides for å sikre at partnerens sikkerhetsprinsipper er i tråd med organisasjonens egne.

Støtter ISO 27002 kontroller

  • ISO 27002
  • ISO 27002
  • ISO 27002
  • ISO 27002

ISO 27701 klausul 7.4.2 (Begrensningsbehandling) og EU GDPR artikkel 25 (2)

Organisasjoner bør også bare behandle PII hvis det er relevant, proporsjonalt og nødvendig for å oppfylle et uttalt formål, inkludert:

  1. Formidling.

  2. Oppbevaring.

  3. Tilgjengelighet.

Støtter ISO 27701-klausuler og ISO 27002-kontroller

GDPR-artikkelISO 27701 klausulISO 27002 kontroller
EU GDPR artikkel 25 (3)ISO 27701none
EU GDPR artikkel 25 (1)(f)ISO 27701ISO 27002
ISO 27002
ISO 27002
ISO 27002
EU GDPR artikkel 25 (1)ISO 27701ISO 27002
ISO 27002
ISO 27002
ISO 27002
ISO 27002
ISO 27002
ISO 27002
EU GDPR artikkel 25 (1)ISO 27701ISO 27002
ISO 27002
ISO 27002
ISO 27002
EU GDPR artikkel 25 (2)ISO 27701none

Hvordan ISMS.online hjelper

Vi gir deg et forhåndsbygd miljø der du kan beskrive og demonstrere hvordan du beskytter dataene til dine europeiske og britiske kunder.

ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert.

Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.

  • ROPA gjort enkelt
  • Vurderingsmaler
  • En sikker plass for DRR (Data Subject Rights Requests)
  • Håndtering av brudd

Finn ut mer av bestilling av en kort 30 minutters demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer