Hvordan demonstrere samsvar med GDPR artikkel 28

UK GDPR-versjon

prosessor

1. Når behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige kun bruke databehandlere som gir tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i denne forordning og sikrer beskyttelse av rettighetene til den registrerte.
2. Databehandleren skal ikke engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra behandlingsansvarlig. Ved generell skriftlig fullmakt skal databehandleren informere behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av andre databehandlere, og dermed gi behandlingsansvarlig mulighet til å protestere mot slike endringer.
3. Behandling av en databehandler skal være underlagt en kontrakt eller annen rettslig handling i henhold til nasjonal rett, som er bindende for databehandleren med hensyn til den behandlingsansvarlige og som angir innholdet og varigheten av behandlingen, arten og formålet med behandlingen. , typen personopplysninger og kategorier av registrerte og den behandlingsansvarliges forpliktelser og rettigheter. Denne kontrakten eller andre rettslige handlinger skal spesielt fastsette at databehandleren:
• (a) Behandler personopplysningene kun etter dokumenterte instrukser fra den behandlingsansvarlige, inkludert med hensyn til overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det er pålagt å gjøre det i henhold til nasjonal lovgivning som databehandleren er underlagt; i et slikt tilfelle skal databehandleren informere den behandlingsansvarlige om det rettslige kravet før behandlingen, med mindre denne loven forbyr slik informasjon på grunn av viktige allmenne interesser.
• (b) Sikrer at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
• (c) Iverksetter alle nødvendige tiltak i henhold til artikkel 32.
• (d) Respekterer vilkårene nevnt i paragraf 2 og 4 for å engasjere en annen prosessor.
• (e) Under hensyntagen til behandlingens art, bistår den behandlingsansvarlige med hensiktsmessige tekniske og organisatoriske tiltak, så langt dette er mulig, for å oppfylle den behandlingsansvarliges plikt til å svare på forespørsler om å utøve den registrertes rettigheter fastsatt i kapittel III .
• (f) Bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32 til 36, under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for databehandleren.
• (g) Etter behandlingsansvarligs valg sletter eller returnerer alle personopplysningene til behandlingsansvarlig etter avsluttet levering av tjenester knyttet til behandling, og sletter eksisterende kopier med mindre nasjonal lovgivning krever lagring av personopplysningene.
• (h) Gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i denne artikkel og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av behandlingsansvarlig eller en annen revisor som er gitt mandat av behandlingsansvarlig.
   
  Når det gjelder første ledd bokstav h) skal databehandleren umiddelbart informere den behandlingsansvarlige dersom en instruks etter dens mening bryter med denne forordningen eller annen nasjonal lovgivning knyttet til forpliktelser om databeskyttelse.
4. Når en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme databeskyttelsesforpliktelsene som fastsatt i kontrakten eller annen rettsakt mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3 pålegges annen databehandler i form av en kontrakt eller annen rettslig handling i henhold til nasjonal lovgivning, særlig å gi tilstrekkelige garantier for å iverksette passende tekniske og organisatoriske tiltak på en slik måte at behandlingen vil oppfylle kravene i denne forordningen. Dersom den andre databehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal den første databehandleren forbli fullt ansvarlig overfor den behandlingsansvarlige for utførelsen av den andre databehandlerens forpliktelser.
5. En databehandlers overholdelse av en godkjent atferdskodeks som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som referert til i artikkel 42 kan brukes som et element for å demonstrere tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkelen. .
6. Uten at det berører en individuell kontrakt mellom den behandlingsansvarlige og databehandleren, kan kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 i denne artikkel være basert, helt eller delvis, på standard kontraktsklausuler nevnt i nr. 8 i denne artikkelen, inkludert når de er en del av en sertifisering gitt til behandlingsansvarlig eller databehandler i henhold til artikkel 42 og 43.
7. Kommissæren kan vedta standard kontraktsbestemmelser for de saker som er nevnt i paragraf 3 og 4 i denne artikkel.
8. Kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 skal være skriftlig, inkludert i elektronisk form.
9. Uten at det berører artikkel 82, 83 og 84, skal databehandleren anses å være behandlingsansvarlig med hensyn til denne behandlingen, dersom en databehandler bryter denne forordningen ved å fastsette formålene og midlene for behandlingen.

Teknisk kommentar

GDPR artikkel 28 omhandler 8 konstituerende områder, som styrer hvordan databehandlingsaktiviteter kan outsources til tredjeparts tjenesteleverandører:

1. Minimumskravene som kreves for å bruke en tjenesteleverandør.
2. Ytterligere engasjement fra andre prosessorer, når tjenesteleverandøren har blitt engasjert med.
3. Behovet for en juridisk bindende, skriftlig kontrakt.
4. Underbehandling (underentreprise).
5. Etiske retningslinjer.
6. Kontraktsmessige klausuler.
7. Formkrav.
8. Rettslige konsekvenser etter kontraktsbrudd.

ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 28

I denne delen snakker vi om GDPR artikkel 28 (10), 28 (5) og 28 (6)

Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.

Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.

Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.

Dette inkluderer:

1. Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser".
2. Ta hensyn til organisasjonens unike sett med krav knyttet til hva slags produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer.
3. Eventuelle administrative faktorer, inkludert den daglige driften av selskapet.
4. Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.

ISO 27701 klausul 6.12.1.2 (adressering av sikkerhet innenfor leverandøravtaler) og EU GDPR artikkel 28

I denne delen snakker vi om GDPR artikkel 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) og (3)(h)

Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.

Ved å gjøre dette bør organisasjoner:

• Tilby en tydelig beskrivelse som beskriver personverninformasjonen som må åpnes, og hvordan denne informasjonen skal få tilgang.
• Klassifiser personverninformasjonen som skal åpnes i samsvar med et akseptert klassifiseringsskjema (se ISO 27002 Kontroller 5.10, 5.12 og 5.13).
• Ta tilstrekkelig hensyn til leverandørens eget klassifiseringssystem.
• Kategoriser rettigheter i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig – med en detaljert beskrivelse av forpliktelser per område.
• Sikre at hver part er forpliktet til å vedta en rekke kontroller som overvåker, vurderer og administrerer personverninformasjonssikkerhetsrisikonivåer.
• Skisser behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Tilrettelegge for en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av personverninformasjon og fysiske og virtuelle eiendeler fra begge parter.
• Vedta autorisasjonskontroller som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons personverninformasjon.
• Ta hensyn til hva som skjer ved kontraktsbrudd eller manglende overholdelse av individuelle bestemmelser.
• Skissere en hendelseshåndteringsprosedyre, inkludert hvordan større hendelser kommuniseres.
• Sørge for at personell får opplæring i sikkerhetsbevissthet.
• (Hvis leverandøren har tillatelse til å bruke underleverandører) legg til krav for å sikre at underleverandører er på linje med det samme sett med standarder for personverninformasjonssikkerhet som leverandøren.
• Vurder hvordan leverandørpersonell blir screenet før de samhandler med personverninformasjon.
• Fastsetter behovet for tredjepartsattester som adresserer leverandørens evne til å oppfylle organisatoriske krav til personverninformasjonssikkerhet.
• Har avtalefestet rett til å revidere en leverandørs prosedyrer.
• Krev at leverandører leverer rapporter som beskriver effektiviteten til deres egne prosesser og prosedyrer.
• Fokuser på å ta skritt for å påvirke rettidig og grundig løsning av eventuelle mangler eller konflikter.
• Sikre at leverandører opererer med en adekvat BUDR-policy for å beskytte integriteten og tilgjengeligheten til PII og personvernrelaterte eiendeler.
• Krev en policy for endringsstyring på leverandørsiden som informerer organisasjonen om eventuelle endringer som har potensial til å påvirke personvernet.
• Implementer fysiske sikkerhetskontroller som er proporsjonale med sensitiviteten til dataene som lagres og behandles.
• (Hvor data skal overføres) be leverandører om å sikre at data og eiendeler er beskyttet mot tap, skade eller korrupsjon.
• Skissere en liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse.
• Be leverandøren om å skissere hvordan de har til hensikt å ødelegge personverninformasjon etter oppsigelse, eller at dataene ikke lenger er nødvendige.
• Ta skritt for å sikre minimalt med forretningsavbrudd i løpet av en overleveringsperiode.

Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.15.1.1 (identifikasjon av gjeldende lovgivning og kontraktskrav) og EU GDPR artikkel 28

I denne delen snakker vi om GDPR artikkel 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) og (3)(h)

Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:

1. Utforming og/eller endring av sikkerhetsprosedyrer for personverninformasjon.
2. Kategorisering av informasjon.
3. Ta fatt på risikovurderinger knyttet til aktiviteter for personverninformasjonssikkerhet.
4. Å bygge leverandørforhold, inkludert eventuelle kontraktsmessige forpliktelser gjennom hele forsyningskjeden.

Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.

Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.

Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:

• Overhold alle lover som regulerer import og eksport av maskinvare eller programvare som har potensial til å oppfylle en kryptografisk funksjon.
• Gi tilgang til kryptert informasjon i henhold til lovene i jurisdiksjonen de opererer innenfor.
• Bruk tre nøkkelelementer for kryptering:
1. Digitale signaturer.
2. Sel.
3. Digitale sertifikater.

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 7.2.6 (kontrakter med PII-behandlere) og EU GDPR artikkel 28(3)(e) og 28(9)

Organisasjoner må skissere detaljene for enhver felles PII-behandlingsordning, med en tilhørende PII-kontrollør – dette inkluderer generelle beskyttelsestiltak og alle tilhørende sikkerhetskrav.

Roller og ansvar må være klare og utvetydige, og skissert i et juridisk bindende dokument (noen ganger kalt en "datadelingsavtale").

Avtaler kan inkludere (blant andre tiltak):

• Hvorfor PII deles.
• Datakategorier.
• En generell oversikt over PII-behandlingsoperasjonen.
• Eventuelle relevante roller og ansvar.
• Hvordan personverninformasjonssikkerhet skal styres.
• Hvilke tiltak skal iverksettes i tilfelle et databrudd.
• Hvordan PII skal beholdes og ødelegges når det ikke lenger er nødvendig.
• Hva skjer når en av partene bryter avtalen.
• Hva er partenes forpliktelser overfor PII-oppdragsgivere.
• Hvilke mekanismer er på plass for å gi PII-oppdragsgivere gjeldende detaljer om fellesavtalen.
• Hvordan PII-rektorer kan komme med offisielle forespørsler, og hvordan formulere og levere et svar.
• Kontaktpunkter – både internt og for PII-oppdragsgivere å benytte.

ISO 27701 klausul 8.2.1 (kundeavtale) og EU GDPR artikkel 28

I denne delen snakker vi om GDPR artikkel 28 (3)(e) og 28 (3)(f) og 28 (9)

Kundekontrakter bør inneholde:

• Konseptet "privacy by design" (se ISO 27701 klausuler 7.4 og 8.4).
• Hvordan organisasjonen har til hensikt å oppnå sikkerhet ved behandling.
• Hvordan brudd skal rapporteres, inkludert kunde, oppdragsgivere og tilsynsmyndigheter.
• Hvordan Vurdering av personvernkonsekvenser skal behandles.
• Bekreftelse av organisasjonens intensjon om å yte bistand til PII-beskyttelsesmyndigheter.

Støtter ISO 27701 klausuler

• ISO 27701
• ISO 27701

ISO 27701 klausul 8.2.2 (Organisasjonens formål) og EU GDPR artikkel 28 (3)(a)

Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.

Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.

ISO 27701 klausul 8.2.4 (krenkende instruksjoner) og EU GDPR artikkel 28 (3)(h)

Organisasjoner må opprettholde en grundig arbeidsforståelse av hvordan instruksjoner kan komme i konflikt med gjeldende lovgivning eller regulatoriske forpliktelser.

Krenkelser forekommer vanligvis rundt tre faktorer.

1. Hvordan teknologien brukes.
2. Premisset for instruksjonen.
3. Eventuelle kontraktsmessige forpliktelser.

ISO 27701 klausul 8.2.5 (kundeforpliktelser) og EU GDPR artikkel 28 (3)(h)

Organisasjoner må kunne gi sine kunder tilstrekkelig informasjon, slik at kundene til enhver tid kan oppfylle sine forpliktelser.

Den nødvendige informasjonen kan omfatte et bredt spekter av funksjoner, men er vanligvis knyttet til internrevisjoner, og organisasjonens rolle i å tilrettelegge for dem gjennom informasjonsforsyning.

ISO 27701 klausul 8.3.1 (Forpliktelser til PII Principals) og EU GDPR artikkel 28 (3)(h)

Behandlingsansvarliges forpliktelser styres av tre faktorer:

1. Lovgivning.
2. Regulering.
3. Kontrakter.

Kontrakter bør inneholde evt informasjon or tekniske operasjoner som lar organisasjonen oppfylle sine forpliktelser som behandlingsansvarlig.

ISO 27701 klausul 8.4.2 (retur, overføring eller avhending av PII) og EU GDPR artikkel 28 (3)(g)

Det er ulike scenarier som krever avhending av PII, inkludert (men ikke begrenset til):

• Returnerer eventuell PII til kunden.
• Gi PII til en annen organisasjon.
• Ødelegge informasjon.
• Avidentifikasjon.
• Arkivering.

Organisasjoner må gi kategoriske forsikringer om at enhver PII som ikke lenger er nødvendig, vil bli ødelagt i samsvar med gjeldende lovgivning eller regionale retningslinjer.

Alle avhendingspolicyer bør være tilgjengelige for kunden på forespørsel, og bør dekke tidsperioden som organisasjoner må ødelegge PII, når en kontrakt er avsluttet.

ISO 27701 klausul 8.5.4 (varsling om PII-avsløringsforespørsler) og EU GDPR artikkel 28 (3)(a)

Organisasjoner bør utarbeide en prosedyre som styrer hvordan PII-oppdragsgivere blir varslet om juridisk bindende tredjepartsforespørsler om deres informasjon, inkludert en rimelig tidsramme og en kontraktsbestemmelse som skisserer hele prosessen.

Fremfor alt må organisasjoner etterkomme forespørsler fra rettshåndhevelsesbyråer, som har rett til å be om at kunden ikke blir varslet om noen forespørsel, og sikre at de ikke bryter noen lover ved utilsiktet eller med vilje å informere kunden om situasjonen.

ISO 27701 klausul 8.5.6 (avsløring av underleverandører som brukes til å behandle PII) og EU GDPR artikkel 28 (2) og (28)(4)

Alle bestemmelser for bruk av underleverandører bør være oppført som sådan i SLA/kundekontrakten.

Informasjon om underleverandører bør omfatte:

• Underleverandørens navn.
• Eventuelle land som underleverandøren kan overføre data til (se ISO 27701 punkt 8.5.2), slik at kunden kan informere eventuelle PII-oppdragsgivere.
• Hvordan underleverandøren forventes å møte behovene til organisasjonen (se ISO 27701 klausul 8.5.7).

NDAer bør utarbeides for å avsløre all informasjon som vil representere en økt sikkerhetsrisiko hvis den blir offentlig eksponert.

Støtter ISO 27701 klausuler

• ISO 27701
• ISO 27701

ISO 27701 klausul 8.5.7 (Engagement of a Subcontractor to Process PII) og EU GDPR artikkel 28 (2) og 28 (3)(d)

Organisasjoner må innhente skriftlig godkjenning fra kundene sine før PII behandles av en tredjepartsorganisasjon.

Underleverandører bør være underlagt en bindende avtale (vanligvis i form av en skriftlig kontrakt), som sikrer at underleverandører forstår deres forpliktelser til å implementere kontrollene som er oppført i ISO 27701 vedlegg B.

Kontrakter bør ta hensyn til ulike risikovurderingsprosesser (se ISO 27701 klausul 5.4.1.2), og hele omfanget av organisasjonens PII-behandlingsoperasjon (se ISO 27701 klausul 6.12). Som ovenfor, bør alle kontroller oppført i vedlegg B følges, med eventuelle utelatelser oppført, sammen med begrunnelsen for å gjøre det.

Støtter ISO 27701 klausuler

• ISO 27701
• ISO 27701

ISO 27701 klausul 8.4 (Change of Subcontractor to Process PII) og EU GDPR GDPR artikkel 28 (2)

Når det oppstår behov for å endre måten organisasjonen outsourcer noen del av sin PII-behandling på, bør kundene informeres om endringene i god tid for å gi dem tid til å stille spørsmål ved eller protestere mot nevnte endringer.

Kontrakter bør inneholde klausuler som gir skriftlig tillatelse fra kunden til å gå videre med endringen, før noen PII behandles.

Organisasjoner kan også søke godkjenning for endringer innenfor skriftlige ad hoc-avtaler, utenom eventuelle kontraktsmessige vilkår.

Støtter ISO 27701-klausuler og ISO 27002-kontroller

Hvordan ISMS.online hjelper

Bygget etter ISO 27701, på linje med andre forskrifter.

Med ISO 27701 kan du lage et styringssystem for personverninformasjon som overholder de fleste personvernforskrifter. Dette inkluderer EUs Generell databeskyttelsesforskrift, BS 10012 og Sør-Afrikas POPIA.

Du kan enkelt følge den internasjonale standarden med vår forenklede, sikre og bærekraftige programvare.

Alt-i-ett-plattformen vi tilbyr sikrer at personvernarbeidet ditt er i tråd med ISO 27701 og oppfyller kravene.

Finn ut mer av bestilling av en kort 30 minutters demo.