Hvordan demonstrere samsvar med GDPR artikkel 32

Teknisk kommentar

GDPR artikkel 32 ber organisasjoner om å ta en risikobasert tilnærming til databehandling som tar hensyn til flere nøkkelvariabler:

• En grundig risikovurdering som tar hensyn til utilsiktet eller ulovlig ødeleggelse eller endring av personopplysninger, tilgang til data og hvordan data håndteres.
• Undersøker tekniske tiltak som reduserer risiko på tvers av hele organisasjonen.
• Implementere teknikker og tiltak som håndterer eventuelle risikoer som er mest sannsynlig vil skje.
• Etiske retningslinjer som holder organisasjonen og enkeltpersoner i den ansvarlige for sine handlinger når de håndterer data.
• Garanterer til registrerte at alle som samhandler med dataene deres gjør det på en hensiktsmessig og lovlig måte.

ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 32 (3)

Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.

Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.

Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.

Dette inkluderer:

• Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser".
• Ta hensyn til organisasjonens unike sett med krav knyttet til hva slags produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer.
• Eventuelle administrative faktorer, inkludert den daglige driften av selskapet.
• Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.

ISO 27701 klausul 5.2.3 (bestemmelse av omfanget av styringssystemet for informasjonssikkerhet) og EU GDPR artikkel 32 (2)

ISO anbefaler en grundig scoping-øvelse, slik at organisasjoner er i stand til å produsere et PIMS som først oppfyller kravene til personvern, og for det andre ikke kryper inn i områder av virksomheten som ikke trenger oppmerksomhet.

Organisasjoner bør etablere og dokumentere:

1. Eventuelle eksterne eller interne problemer, som skissert i ISO 27001 4.1.
2. Tredjepartskrav som beskrevet i ISO 27001 4.2.
3. Hvordan organisasjonen samhandler med både seg selv og eksterne instanser (f.eks. kundekontaktpunkter, IKT-grensesnitt).

Alle omfangsøvelser som kartlegger en PIMS-implementering bør inkludere en grundig vurdering av PII-behandling og lagringsaktiviteter.

ISO 27701 klausul 5.2.4 (Information Security Management System) og EU GDPR artikkel 32 (2)

Organisasjoner bør søke å implementere, administrere og optimalisere et Privacy Information Management System (PIMS), i tråd med publiserte ISO-standarder.

ISO 27701 klausul 5.4.1.2 (Informasjonssikkerhetsrisikovurdering) og EU GDPR artikkel 32 (1)(b) og 32 (2)

Organisasjoner bør kartlegge og implementere en personvernrisikovurderingsprosess som:

• Inkluderer risikoakseptkriterier for å utføre personvernvurderinger.
• Gir et rammeverk for sammenlignbar analyse av alle personvernvurderinger.
• Påpeker risikoer for personvern (og deres eiere).
• Vurderer farene og risikoene som er forbundet med tap av "konfidensialitet, tilgjengelighet og integritet" til PII.
• Analyserer personvernrisikoer sammen med tre faktorer:
• Deres potensielle konsekvenser.
• Sannsynligheten for at de inntreffer.
• Deres alvorlighetsgrad.
• analyserer og prioriterer identifiserte risikoer i henhold til deres risikonivå.

ISO 27701 klausul 5.4.1.3 (informasjonssikkerhetsrisikobehandling) og EU GDPR-artikkel (32)(1)(b)

Organisasjoner bør utarbeide og implementere en "risikobehandlingsprosess" for personvern/PII som:

• Implementere en "risikobehandlingsplan" for personvern.
• Identifiserer hvordan en PIMS skal behandle individuelle risikonivåer, basert på et sett med vurderingsresultater.
• Fremhever en rekke kontroller som kreves for å implementere behandling av personvernrisiko.
• Kryssreferanser til alle kontroller identifisert med den omfattende listen levert av ISO i Vedlegg A til ISO 27001.
• Dokumenter og begrunn bruken av eventuelle kontroller som brukes i en formell "erklæring om anvendelse".
• Søk godkjenning fra eventuelle risikoeiere før du fullfører en behandlingsplan for personvernrisiko som inkluderer "rest" personvern og PII-risikoer.

ISO 27701 klausul 6.11.1.2 (Sikkerhet i utviklings- og støtteprosesser) og EU GDPR artikkel 32 (1)(a)

Programsikkerhetsprosedyrer bør utvikles sammen med bredere retningslinjer for personvern, vanligvis via en strukturert risikovurdering som tar hensyn til flere variabler.

Applikasjonssikkerhetskrav bør inkludere:

• Nivåene av tillit som er iboende i alle nettverksenheter (se ISO 27002 Kontroller 5.17, 8.2 og 8.5).
• Klassifiseringen av data som applikasjonen er konfigurert til å behandle (inkludert PII).
• Eventuelle segregeringskrav.
• Beskyttelse mot interne og eksterne angrep og/eller ondsinnet bruk.
• Eventuelle gjeldende juridiske, kontraktsmessige eller regulatoriske krav.
• Robust beskyttelse av konfidensiell informasjon.
• Data som skal beskyttes under transport.
• Eventuelle kryptografiske krav.
• Sikre inn- og utgangskontroller.
• Minimal bruk av ubegrensede inndatafelter – spesielt de som har potensial til å lagre personopplysninger.
• Håndtering av feilmeldinger, inkludert tydelig kommunikasjon av feilkoder.

Transaksjonstjenester som letter flyten av personverndata mellom organisasjonen og en tredjepartsorganisasjon, eller partnerorganisasjon, bør:

1. Etablere et passende nivå av tillit mellom organisasjonsidentiteter.
2. Inkluder mekanismer som sjekker tillit mellom etablerte identiteter (f.eks. hashing og digitale signaturer).
3. Skisser robuste prosedyrer som styrer hva ansatte er i stand til å administrere sentrale transaksjonsdokumenter.
4. Inneholder dokument- og transaksjonsadministrasjonsprosedyrer som dekker konfidensialitet, integritet, bevis på utsendelse og mottak av nøkkeldokumenter og transaksjoner.
5. Inkluder spesifikk veiledning om hvordan du holder transaksjoner konfidensielle.

For alle søknader som involverer elektronisk bestilling og/eller betaling, bør organisasjoner:

• Skisser strenge krav til beskyttelse av betalings- og bestillingsdata.
• Bekreft betalingsinformasjon før en bestilling legges inn.
• Lagre transaksjons- og personvernrelaterte data på en sikker måte på en måte som er utilgjengelig for allmennheten.
• Bruk pålitelige myndigheter når du implementerer digitale signaturer, med personvern i tankene til enhver tid.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.12.1.2 (Adressering av sikkerhet innenfor leverandøravtaler) og EU GDPR artikkel 32 (1)(b)

Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.

Ved å gjøre dette bør organisasjoner:

• Tilby en tydelig beskrivelse som beskriver personverninformasjonen som må åpnes, og hvordan denne informasjonen skal få tilgang.
• Klassifiser personverninformasjonen som skal åpnes i henhold til et akseptert klassifiseringsskjema (se ISO 27002 kontroller 5.10, 5.12 og 5.13).
• Ta tilstrekkelig hensyn til leverandørens eget klassifiseringssystem.
• Kategoriser rettigheter i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig – med en detaljert beskrivelse av forpliktelser per område.
• Sikre at hver part er forpliktet til å vedta en rekke kontroller som overvåker, vurderer og administrerer personverninformasjonssikkerhetsrisikonivåer.
• Skisser behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Tilrettelegge for en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av personverninformasjon og fysiske og virtuelle eiendeler fra begge parter.
• Vedta autorisasjonskontroller som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons personverninformasjon.
• Ta hensyn til hva som skjer ved kontraktsbrudd eller manglende overholdelse av individuelle bestemmelser.
• Skissere en hendelseshåndteringsprosedyre, inkludert hvordan større hendelser kommuniseres.
• Sørge for at personell får opplæring i sikkerhetsbevissthet.
• (Hvis leverandøren har tillatelse til å bruke underleverandører) legg til krav for å sikre at underleverandører er på linje med det samme sett med standarder for personverninformasjonssikkerhet som leverandøren.
• Vurder hvordan leverandørpersonell blir screenet før de samhandler med personverninformasjon.
• Fastsetter behovet for tredjepartsattester som adresserer leverandørens evne til å oppfylle organisatoriske krav til personverninformasjonssikkerhet.
• Har avtalefestet rett til å revidere en leverandørs prosedyrer.
• Krev at leverandører leverer rapporter som beskriver effektiviteten til deres egne prosesser og prosedyrer.
• Fokuser på å ta skritt for å påvirke rettidig og grundig løsning av eventuelle mangler eller konflikter.
• Sikre at leverandører opererer med en adekvat BUDR-policy for å beskytte integriteten og tilgjengeligheten til PII og personvernrelaterte eiendeler.
• Krev en policy for endringsstyring på leverandørsiden som informerer organisasjonen om eventuelle endringer som har potensial til å påvirke personvernet.
• Implementer fysiske sikkerhetskontroller som er proporsjonale med sensitiviteten til dataene som lagres og behandles.
• (Hvor data skal overføres) be leverandører om å sikre at data og eiendeler er beskyttet mot tap, skade eller korrupsjon.
• Skissere en liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse.
• Be leverandøren om å skissere hvordan de har til hensikt å ødelegge personverninformasjon etter oppsigelse, eller at dataene ikke lenger er nødvendige.
• Ta skritt for å sikre minimalt med forretningsavbrudd i løpet av en overleveringsperiode.

Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.15.2.1 (Uavhengig gjennomgang av informasjonssikkerhet) og EU GDPR artikkel 32

I denne delen snakker vi om GDPR artikkel 32 (1)(b), 32 (1)(d), 32 (2)

Organisasjoner bør utvikle prosesser som tar hensyn til uavhengige gjennomganger av deres personverninformasjonssikkerhetspraksis, inkludert både emnespesifikke retningslinjer og generelle retningslinjer.

Vurderinger bør utføres av:

• Internrevisorer.
• Selvstendige avdelingsledere.
• Spesialiserte tredjepartsorganisasjoner.

Vurderinger bør være uavhengige og utføres av personer med tilstrekkelig kunnskap om retningslinjer for personvern og organisasjonens egne prosedyrer.

Anmeldere bør fastslå om praksis for personverninformasjon er i samsvar med organisasjonens "dokumenterte mål og krav".

I tillegg til strukturerte periodiske gjennomganger, kan organisasjoner komme over behovet for å gjennomføre ad hoc-gjennomganger som utløses av visse hendelser, inkludert:

• Etter endringer i interne retningslinjer, lover, retningslinjer og forskrifter som påvirker personvernet.
• Etter store hendelser som har påvirket personvernet.
• Hver gang en ny virksomhet opprettes, eller det vedtas store endringer i den nåværende virksomheten.
• Etter innføringen av et nytt produkt eller en tjeneste som omhandler personvern på noen måte.

ISO 27701 klausul 6.15.2.3 (gjennomgang av teknisk samsvar) og EU GDPR artikkel 32 (1)(d) og (32)(2)

Organisasjoner må sikre at personell er i stand til å gjennomgå personvernregler på tvers av hele spekteret av forretningsdrift.

Ledelsen bør utvikle tekniske metoder for rapportering om overholdelse av personvern (inkludert automatisering og skreddersydde verktøy). Rapporter bør registreres, lagres og analyseres for ytterligere å forbedre innsatsen for PII-sikkerhet og personvern.

Når samsvarsproblemer oppdages, bør organisasjoner:

• Fastslå årsaken.
• Bestem deg for en metode for korrigerende tiltak for å tette og samsvarshull.
• Gå tilbake til problemet etter en passende periode for å sikre at problemet er løst.

Det er svært viktig å iverksette korrigerende tiltak så raskt som mulig. Hvis problemene ikke er fullstendig løst ved neste gjennomgang, bør det som et minimum fremlegges bevis som viser at det gjøres fremskritt.

ISO 27701 klausul 6.5.2.1 (Klassifisering av informasjon) og EU GDPR-artikkel (32)(2)

I stedet for å sette all informasjon på lik linje, bør organisasjoner klassifisere informasjon på et emnespesifikk grunnlag.

Informasjonseiere bør vurdere fire nøkkelfaktorer, når de klassifiserer data (spesielt angående PII), som bør gjennomgås med jevne mellomrom, eller når slike faktorer endres:

1. De konfidensialitet av dataene.
2. De integritet av dataene.
3. Data tilgjengelighet nivåer.
4. Organisasjonens juridiske forpliktelser mot PII.

For å gi et klart operasjonelt rammeverk, bør informasjonskategorier navngis i samsvar med det iboende risikonivået dersom det skulle inntreffe hendelser som kompromitterer noen av faktorene ovenfor.

For å sikre kompatibilitet på tvers av plattformer, bør organisasjoner gjøre informasjonskategoriene sine tilgjengelige for eksternt personell som de deler informasjon med, og sørge for at organisasjonens eget klassifiseringssystem er allment forstått av alle relevante parter.

Organisasjoner bør være på vakt mot enten underklassifisering eller omvendt overklassifisering av data. Førstnevnte kan føre til feil ved gruppering av PII med mindre sensitive datatyper, mens førstnevnte ofte fører til ekstra kostnader, større sjanse for menneskelige feil og behandlingsavvik.

ISO 27701 klausul 6.5.3.1 (Administrasjon av flyttbare medier) og EU GDPR artikkel 32 (1)(a)

Når organisasjoner utvikler retningslinjer som styrer håndteringen av medieressurser involvert i lagring av PII, bør organisasjoner:

• Utvikle unike emnespesifikke retningslinjer basert på avdelings- eller jobbbaserte krav.
• Sørg for at riktig autorisasjon søkes og gis før personell kan fjerne lagringsmedier fra nettverket (inkludert å holde en nøyaktig og oppdatert oversikt over slike aktiviteter).
• Oppbevar media i henhold til produsentens spesifikasjoner, fri for miljøskader.
• Vurder å bruke kryptering som en forutsetning for å få tilgang, eller der dette ikke er mulig, implementere ytterligere fysiske sikkerhetstiltak.
• Minimer risikoen for at PII blir ødelagt ved å overføre informasjon mellom lagringsmedier etter behov.
• Introduser PII-redundans ved å lagre beskyttet informasjon på flere eiendeler samtidig.
• Tillat kun bruk av lagringsmedier på godkjente innganger (dvs. SD-kort og USB-porter), på en eiendel for eiendel.
• Overvåk nøye overføringen av PII til lagringsmedier, uansett formål.
• Ta i betraktning risikoene som ligger i fysisk overføring av lagringsmedier (og ved fullmakt, PII som finnes på det), når du flytter eiendeler mellom personell eller lokaler (se ISO 27002 kontroll 5.14).

Ved ombruk, gjenbruk eller kassering av lagringsmedier, bør robuste prosedyrer settes på plass for å sikre at PII ikke påvirkes på noen måte, inkludert:

• Formatere lagringsmediet, og sikre at all PII fjernes før gjenbruk (se ISO 27002 Kontroll 8.10), inkludert vedlikehold av tilstrekkelig dokumentasjon av alle slike aktiviteter.
• Sikker avhending av medier som organisasjonen ikke har videre bruk for, og som har blitt brukt til å lagre PII.
• Hvis avhending krever involvering av en tredjepart, bør organisasjoner være nøye med å sikre at de er en egnet og riktig partner til å utføre slike oppgaver, i tråd med organisasjonens ansvar overfor PII og personvern.
• Implementering av prosedyrer som identifiserer hvilke lagringsmedier som er tilgjengelige for gjenbruk, eller som kan kasseres tilsvarende.

Hvis enheter som har blitt brukt til å lagre PII blir skadet, bør organisasjonen vurdere nøye om det er mer hensiktsmessig å ødelegge slike medier, eller sende det til reparasjon (feil på siden av førstnevnte).

ISO advarer organisasjoner mot å bruke ukrypterte lagringsenheter for noen PII-relaterte aktiviteter.

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 6.5.3.3 (overføring av fysiske medier) og EU GDPR artikkel 32 (1)(a)

Se avsnittet ovenfor om ISO 27701 klausul 6.5.3.1

Tilleggsinformasjon

Hvis media skal avhendes tidligere holdt PII, bør organisasjoner implementere prosedyrer som dokumenterer ødeleggelsen av PII og personvernrelaterte data, inkludert kategoriske forsikringer om at de ikke lenger er tilgjengelige.

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 6.7.1.1 (Retningslinjer for bruk av kryptografiske kontroller) og EU GDPR artikkel 32 (1)(a)

Organisasjoner bør bruke kryptering for å beskytte konfidensialitet, autentisitet og integritet av PII og personvernrelatert informasjon, og for å overholde deres ulike kontraktsmessige, juridiske eller regulatoriske forpliktelser.

Kryptering er et vidtrekkende konsept – det finnes ingen «one size fits all»-tilnærming. Organisasjoner bør vurdere sine behov og velge en kryptografisk løsning som oppfyller deres unike kommersielle og operasjonelle mål.

Organisasjoner bør vurdere:

• Utvikle en emnespesifikk tilnærming til kryptografi, som tar hensyn til ulike avdelingsmessige, rollebaserte og operasjonelle krav.
• Det riktige beskyttelsesnivået (sammen med typen informasjon som skal krypteres).
• Mobile enheter og lagringsmedier.
• Kryptografisk nøkkelhåndtering (lagring, behandling etc.).
• Spesialiserte roller og ansvar for kryptografiske funksjoner, inkludert implementering og nøkkeladministrasjon (se ISO 27002 Kontroll 8.24).
• De tekniske krypteringsstandardene som skal vedtas, inkludert algoritmer, chifferstyrke, retningslinjer for beste praksis.
• Hvordan kryptering vil fungere sammen med andre cybersikkerhetstiltak, for eksempel beskyttelse mot skadelig programvare og gatewaysikkerhet.
• Grenseoverskridende og tverrjurisdiksjonelle lover og retningslinjer (se ISO 27002 Kontroll 5.31).
• Kontrakter med tredjeparts kryptografipartnere som dekker helt eller delvis ansvar, pålitelighet og responstider.

Nøkkeladministrasjon

Nøkkelstyringsprosedyrer bør fordeles på 7 hovedfunksjoner:

1. Generasjon.
2. Oppbevaring.
3. Arkivering.
4. Henting.
5. Distribusjon.
6. Pensjonist.
7. Ødeleggelse.

Organisatoriske nøkkelstyringssystemer bør:

• Administrer nøkkelgenerering for alle krypteringsmetoder.
• Implementer offentlige nøkkelsertifikater.
• Sørg for at alle relevante menneskelige og ikke-menneskelige enheter er utstedt med de nødvendige nøklene.
• Lagre nøkler.
• Endre nøkler etter behov.
• Ha prosedyrer på plass for å håndtere potensielt kompromitterte nøkler.
• Ta ut nøkler, eller tilbakekall tilgang på en bruker-for-bruker basis.
• Gjenopprett tapte eller defekte nøkler, enten fra sikkerhetskopier og nøkkelarkiver.
• Ødelegg nøkler som ikke lenger er nødvendige.
• Administrer aktiverings- og deaktiveringslivssyklusen, slik at enkelte nøkler kun er tilgjengelige i den tidsperioden de er nødvendige.
• Behandle offisielle forespørsler om tilgang, fra rettshåndhevende byråer eller, under visse omstendigheter, reguleringsbyråer.
• Inneholder tilgangskontroller som beskytter fysisk tilgang til nøkler og kryptert informasjon.
• Vurder ektheten til offentlige nøkler før implementering (sertifikatmyndigheter og offentlige sertifikater).

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002

ISO 27701 klausul 6.9.3.1 (informasjonssikkerhetskopiering) og EU GDPR artikkel 32 (1)(c)

Organisasjoner bør utarbeide temaspesifikke retningslinjer som direkte tar for seg hvordan organisasjonen sikkerhetskopierer de relevante områdene i nettverket for å sikre PII og forbedre motstandskraften mot personvernrelaterte hendelser.

BUDR-prosedyrer bør utarbeides for å oppnå hovedmålet om å sikre det alle forretningskritiske data, programvare og systemer kan gjenopprettes følgende Data Loss, inntrenging, forretningsavbrudd og kritiske feil.

Som en prioritet bør BUDR-planer:

• Skisser gjenopprettingsprosedyrer som dekker alle kritiske systemer og tjenester.
• Kunne produsere brukbare kopier av alle systemer, data eller applikasjoner som inngår i en sikkerhetskopijobb.
• Tjener de kommersielle og operasjonelle kravene til organisasjonen (se ISO 27002 Kontroll 5.30).
• Lagre sikkerhetskopier på et miljøbeskyttet sted som er fysisk atskilt fra kildedataene (se ISO 27002 kontroll 8.1).
• Test og vurder sikkerhetskopieringsjobber regelmessig mot organisasjonens pålagte gjenopprettingstider, for å garantere datatilgjengelighet.
• Krypter alle PII-relaterte sikkerhetskopieringsdata.
• Dobbeltsjekk for tap av data før du utfører en sikkerhetskopijobb.
• Følg et rapporteringssystem som varsler personalet om statusen til backupjobber.
• Søk å inkorporere data fra skybaserte plattformer som ikke er direkte administrert av organisasjonen, i interne sikkerhetskopieringsjobber.
• Lagre sikkerhetskopier i samsvar med en passende PII-oppbevaringspolicy (se ISO 27002 Kontroll 8.10).

Organisasjoner må utvikle separate prosedyrer som utelukkende omhandler PII (riktignok inneholdt i deres hoved-BUDR-plan).

Regionale avvik i PII BUDR-standarder (kontraktsmessige, juridiske og regulatoriske) bør tas i betraktning når en ny jobb opprettes, jobber endres eller nye PII-data legges til BUDR-rutinen.

Når det oppstår behov for å gjenopprette PII etter en BUDR-hendelse, bør organisasjoner være nøye med å returnere PII til sin opprinnelige tilstand, og gjennomgå gjenopprettingsaktiviteter for å løse eventuelle problemer med de nye dataene.

Organisasjoner bør føre en logg over gjenopprettingsaktivitet, inkludert alt personell som er involvert i gjenopprettingen, og en beskrivelse av PII som er gjenopprettet.

Organisasjoner bør sjekke med eventuelle lovgivende eller regulatoriske byråer og sikre at deres PII-gjenopprettingsprosedyrer er i samsvar med det som forventes av dem som PII-behandler og kontroller.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 7.2.1 (Identifiser og dokumentformål) og EU GDPR artikkel 32 (4)

Organisasjoner må først identifisere og deretter rekord de spesifikke årsakene til å behandle PII som de bruker.

PII-rektorer må være fullstendig kjent med alle de forskjellige årsakene til hvorfor deres PII blir behandlet.

Det er organisasjonens ansvar å formidle disse grunnene til PII-rektorer, sammen med en "klar erklæring" om hvorfor de trenger å behandle informasjonen sin.

All dokumentasjon må være klar, omfattende og lett å forstå av enhver PII-oppdragsgiver som leser den – inkludert alt som er relatert til samtykke, samt kopier av interne prosedyrer (se ISO 27701 klausuler 7.2.3, 7.3.2 og 7.2.8).

Støtter ISO 27701 kontroller

• ISO 27701
• ISO 27701
• ISO 27701

ISO 27701 klausul 7.4.5 (PII-avidentifikasjon og sletting ved slutten av behandlingen) og EU GDPR artikkel 32 (1)(a)

Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.

Så snart organisasjonen fastslår at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.

ISO 27701 klausul 8.2.2 (Organisasjonsformål) og EU GDPR artikkel 32 (4)

Fra begynnelsen skal PII kun behandles i henhold til kundens instruksjoner.

Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.

Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.

Støtter ISO 27701-klausuler og ISO 27002-kontroller

Hvordan ISMS.online hjelper

ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert. Du VIL dra nytte av en rekke kraftige tidsbesparende funksjoner.

ISMS.online gjør det også enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som går utover "rimelig", alt på ett sikkert sted som alltid er på.

Finn ut mer av bestilling av en kort 30 minutters demo.