GDPR Artikkel 32 angir behovet for at organisasjoner iverksetter ulike tiltak som oppnår et tilstrekkelig sikkerhetsnivå på tvers av deres databehandlingsvirksomhet.
For å oppnå dette må organisasjoner ta hensyn til:
Behandlingssikkerhet
- Under hensyntagen til teknikkens stand, kostnadene ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, inkludert blant annet etter behov:
- Pseudonymisering og kryptering av personopplysninger.
- Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester.
- Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse.
- En prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen.
- Ved vurdering av passende sikkerhetsnivå skal det tas hensyn til risikoene som er forbundet med behandling, særlig fra utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles.
- Overholdelse av en godkjent atferdskodeks som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som referert til i artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 i denne artikkelen.
- Den behandlingsansvarlige og databehandleren skal iverksette tiltak for å sikre at enhver fysisk person som handler under behandlingsansvarlig eller databehandlers myndighet som har tilgang til personopplysninger, ikke behandler dem unntatt etter instruks fra behandlingsansvarlig, med mindre han eller hun er pålagt det Unions- eller medlemsstatslovgivning.
Behandlingssikkerhet
- Under hensyntagen til teknikkens stand, kostnadene ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren implementere passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, inkludert blant annet etter behov:
- Pseudonymisering og kryptering av personopplysninger.
- Evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester.
- Muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse.
- En prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen.
- Ved vurdering av passende sikkerhetsnivå skal det tas hensyn til risikoene som er forbundet med behandling, særlig fra utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles.
- Overholdelse av en godkjent atferdskodeks som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som referert til i artikkel 42 kan brukes som et element for å demonstrere samsvar med kravene fastsatt i nr. 1 i denne artikkelen.
- Den behandlingsansvarlige og databehandleren skal iverksette tiltak for å sikre at enhver fysisk person som handler under behandlingsansvarlig eller databehandlers myndighet som har tilgang til personopplysninger, ikke behandler dem unntatt etter instruks fra behandlingsansvarlig, med mindre han eller hun er pålagt det intern lov.
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
GDPR artikkel 32 ber organisasjoner om å ta en risikobasert tilnærming til databehandling som tar hensyn til flere nøkkelvariabler:
Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.
Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.
Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.
Dette inkluderer:
ISO anbefaler en grundig scoping-øvelse, slik at organisasjoner er i stand til å produsere et PIMS som først oppfyller kravene til personvern, og for det andre ikke kryper inn i områder av virksomheten som ikke trenger oppmerksomhet.
Organisasjoner bør etablere og dokumentere:
Alle omfangsøvelser som kartlegger en PIMS-implementering bør inkludere en grundig vurdering av PII-behandling og lagringsaktiviteter.
Organisasjoner bør søke å implementere, administrere og optimalisere et Privacy Information Management System (PIMS), i tråd med publiserte ISO-standarder.
Organisasjoner bør kartlegge og implementere en personvernrisikovurderingsprosess som:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Organisasjoner bør utarbeide og implementere en "risikobehandlingsprosess" for personvern/PII som:
Programsikkerhetsprosedyrer bør utvikles sammen med bredere retningslinjer for personvern, vanligvis via en strukturert risikovurdering som tar hensyn til flere variabler.
Applikasjonssikkerhetskrav bør inkludere:
Transaksjonstjenester som letter flyten av personverndata mellom organisasjonen og en tredjepartsorganisasjon, eller partnerorganisasjon, bør:
For alle søknader som involverer elektronisk bestilling og/eller betaling, bør organisasjoner:
Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.
Ved å gjøre dette bør organisasjoner:
Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
I denne delen snakker vi om GDPR artikkel 32 (1)(b), 32 (1)(d), 32 (2)
Organisasjoner bør utvikle prosesser som tar hensyn til uavhengige gjennomganger av deres personverninformasjonssikkerhetspraksis, inkludert både emnespesifikke retningslinjer og generelle retningslinjer.
Vurderinger bør utføres av:
Vurderinger bør være uavhengige og utføres av personer med tilstrekkelig kunnskap om retningslinjer for personvern og organisasjonens egne prosedyrer.
Anmeldere bør fastslå om praksis for personverninformasjon er i samsvar med organisasjonens "dokumenterte mål og krav".
I tillegg til strukturerte periodiske gjennomganger, kan organisasjoner komme over behovet for å gjennomføre ad hoc-gjennomganger som utløses av visse hendelser, inkludert:
Organisasjoner må sikre at personell er i stand til å gjennomgå personvernregler på tvers av hele spekteret av forretningsdrift.
Ledelsen bør utvikle tekniske metoder for rapportering om overholdelse av personvern (inkludert automatisering og skreddersydde verktøy). Rapporter bør registreres, lagres og analyseres for ytterligere å forbedre innsatsen for PII-sikkerhet og personvern.
Når samsvarsproblemer oppdages, bør organisasjoner:
Det er svært viktig å iverksette korrigerende tiltak så raskt som mulig. Hvis problemene ikke er fullstendig løst ved neste gjennomgang, bør det som et minimum fremlegges bevis som viser at det gjøres fremskritt.
I stedet for å sette all informasjon på lik linje, bør organisasjoner klassifisere informasjon på et emnespesifikk grunnlag.
Informasjonseiere bør vurdere fire nøkkelfaktorer, når de klassifiserer data (spesielt angående PII), som bør gjennomgås med jevne mellomrom, eller når slike faktorer endres:
For å gi et klart operasjonelt rammeverk, bør informasjonskategorier navngis i samsvar med det iboende risikonivået dersom det skulle inntreffe hendelser som kompromitterer noen av faktorene ovenfor.
For å sikre kompatibilitet på tvers av plattformer, bør organisasjoner gjøre informasjonskategoriene sine tilgjengelige for eksternt personell som de deler informasjon med, og sørge for at organisasjonens eget klassifiseringssystem er allment forstått av alle relevante parter.
Organisasjoner bør være på vakt mot enten underklassifisering eller omvendt overklassifisering av data. Førstnevnte kan føre til feil ved gruppering av PII med mindre sensitive datatyper, mens førstnevnte ofte fører til ekstra kostnader, større sjanse for menneskelige feil og behandlingsavvik.
Når organisasjoner utvikler retningslinjer som styrer håndteringen av medieressurser involvert i lagring av PII, bør organisasjoner:
Ved ombruk, gjenbruk eller kassering av lagringsmedier, bør robuste prosedyrer settes på plass for å sikre at PII ikke påvirkes på noen måte, inkludert:
Hvis enheter som har blitt brukt til å lagre PII blir skadet, bør organisasjonen vurdere nøye om det er mer hensiktsmessig å ødelegge slike medier, eller sende det til reparasjon (feil på siden av førstnevnte).
ISO advarer organisasjoner mot å bruke ukrypterte lagringsenheter for noen PII-relaterte aktiviteter.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
Se avsnittet ovenfor om ISO 27701 klausul 6.5.3.1
Hvis media skal avhendes tidligere holdt PII, bør organisasjoner implementere prosedyrer som dokumenterer ødeleggelsen av PII og personvernrelaterte data, inkludert kategoriske forsikringer om at de ikke lenger er tilgjengelige.
Organisasjoner bør bruke kryptering for å beskytte konfidensialitet, autentisitet og integritet av PII og personvernrelatert informasjon, og for å overholde deres ulike kontraktsmessige, juridiske eller regulatoriske forpliktelser.
Kryptering er et vidtrekkende konsept – det finnes ingen «one size fits all»-tilnærming. Organisasjoner bør vurdere sine behov og velge en kryptografisk løsning som oppfyller deres unike kommersielle og operasjonelle mål.
Organisasjoner bør vurdere:
Nøkkelstyringsprosedyrer bør fordeles på 7 hovedfunksjoner:
Organisatoriske nøkkelstyringssystemer bør:
Organisasjoner bør utarbeide temaspesifikke retningslinjer som direkte tar for seg hvordan organisasjonen sikkerhetskopierer de relevante områdene i nettverket for å sikre PII og forbedre motstandskraften mot personvernrelaterte hendelser.
BUDR-prosedyrer bør utarbeides for å oppnå hovedmålet om å sikre det alle forretningskritiske data, programvare og systemer kan gjenopprettes følgende Data Loss, inntrenging, forretningsavbrudd og kritiske feil.
Som en prioritet bør BUDR-planer:
Organisasjoner må utvikle separate prosedyrer som utelukkende omhandler PII (riktignok inneholdt i deres hoved-BUDR-plan).
Regionale avvik i PII BUDR-standarder (kontraktsmessige, juridiske og regulatoriske) bør tas i betraktning når en ny jobb opprettes, jobber endres eller nye PII-data legges til BUDR-rutinen.
Når det oppstår behov for å gjenopprette PII etter en BUDR-hendelse, bør organisasjoner være nøye med å returnere PII til sin opprinnelige tilstand, og gjennomgå gjenopprettingsaktiviteter for å løse eventuelle problemer med de nye dataene.
Organisasjoner bør føre en logg over gjenopprettingsaktivitet, inkludert alt personell som er involvert i gjenopprettingen, og en beskrivelse av PII som er gjenopprettet.
Organisasjoner bør sjekke med eventuelle lovgivende eller regulatoriske byråer og sikre at deres PII-gjenopprettingsprosedyrer er i samsvar med det som forventes av dem som PII-behandler og kontroller.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
Organisasjoner må først identifisere og deretter rekord de spesifikke årsakene til å behandle PII som de bruker.
PII-rektorer må være fullstendig kjent med alle de forskjellige årsakene til hvorfor deres PII blir behandlet.
Det er organisasjonens ansvar å formidle disse grunnene til PII-rektorer, sammen med en "klar erklæring" om hvorfor de trenger å behandle informasjonen sin.
All dokumentasjon må være klar, omfattende og lett å forstå av enhver PII-oppdragsgiver som leser den – inkludert alt som er relatert til samtykke, samt kopier av interne prosedyrer (se ISO 27701 klausuler 7.2.3, 7.3.2 og 7.2.8).
Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.
Så snart organisasjonen fastslår at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.
Fra begynnelsen skal PII kun behandles i henhold til kundens instruksjoner.
Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.
Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.
GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikkel 32 (3) | 5.2.1 | none |
EU GDPR artikkel 32 (2) | 5.2.3 | none |
EU GDPR artikkel 32 (2) | 5.2.4 | none |
EU GDPR artikkel 32 (1)(b) og 32 (2) | 5.4.1.2 | none |
EU GDPR artikkel 32 (1)(b) | 5.4.1.3 | none |
EU GDPR artikkel 32 (1)(a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikkel 32 (1)(b) og 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikkel 32 (1)(b), 32 (1)(d) og 32 (2) | 6.15.2.1 | none |
EU GDPR artikkel 32 (1)(d) og (32)(2) | 6.15.2.3 | none |
EU GDPR artikkel 32 (2) | 6.5.2.1 | none |
EU GDPR artikkel 32 (1)(a) | 6.5.3.1 | 5.14 |
EU GDPR artikkel 32 (1)(a) | 6.5.3.3 | 5.14 |
EU GDPR artikkel 32 (1)(a) | 6.7.1.1 | 5.31 8.24 |
EU GDPR artikkel 32 (1)(c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikkel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | none |
EU GDPR artikkel 32 (1)(a) | 7.4.5 | none |
EU GDPR artikkel 32 (4) | 8.2.2 | none |
ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert. Du VIL dra nytte av en rekke kraftige tidsbesparende funksjoner.
ISMS.online gjør det også enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som går utover "rimelig", alt på ett sikkert sted som alltid er på.
Finn ut mer av bestilling av en kort 30 minutters demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Oppdag den beste måten å oppnå ISMS-suksess
Få din gratis guide