BBP Artikel 25 handel oor databeskerming deur ontwerp en by verstek.
Hierdie konsep verseker dat die databeheerder 'n datasubjek se privaatheid in elke stadium van hul werking in ag neem, en ontwerp dataverwerkingsbedrywighede wat GDPR in die hart van 'n stel doelwitte plaas.
Om dit te bereik, moet organisasies eers 'n duidelike stel privaatheidsdoelwitte definieer voordat hulle die ingenieurswese en daaropvolgende implementering van 'n dataverwerkingsoperasie (of, by gevolmagtigde, 'n produk) onderneem.
Databeskerming deur ontwerp en by verstek
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.
- Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.
- 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.
Databeskerming deur ontwerp en by verstek
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.
- Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.
- 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Wanneer 'n organisasie van plan is om 'n dataverwerkingsbewerking te vervaardig wat voldoen aan databeskerming 'deur ontwerp' en 'by verstek', is daar verskeie belangrike faktore om in ag te neem:
Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.
Die organisasie moet in staat wees om te verstaan hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan van die beveiliging van PII moet geïdentifiseer en aangespreek word.
Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.
Dit sluit in:
Organisasies moet nie-openbaarmakingsooreenkomste (NDA's) en vertroulikheidsooreenkomste gebruik om die opsetlike of toevallige bekendmaking van sensitiewe inligting aan ongemagtigde personeel te beskerm.
By die opstel, implementering en instandhouding van sulke ooreenkomste, moet organisasies:
Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge oorweeg wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 Kontroles 5.31, 5.32, 5.33 en 5.34).
Organisasies moet verseker dat die ontwikkelingslewensiklus geskep word met privaatheidbeskerming in gedagte.
Om dit te bereik, moet organisasies:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Organisatoriese stelsel moet ontwerp, gedokumenteer, geïmplementeer en onderhou word met privaatheidbeskerming in gedagte:
Ingenieursbeginsels moet ontleed:
Ingenieursbeginsels moet in ag neem:
Veilige stelselingenieurswese moet die volgende insluit:
Organisasies behoort 'n 'nul vertroue'-benadering tot sekuriteit te gee.
Waar die organisasie ontwikkeling aan derdeparty-organisasies uitkontrakteer, moet pogings aangewend word om te verseker dat die vennoot se sekuriteitsbeginsels in lyn is met die organisasie se eie.
Organisasies moet ook slegs PII verwerk as dit relevant, proporsioneel en nodig is om 'n gestelde doel te vervul, insluitend:
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR Artikel 25 (3) | ISO 27701 5.2.1 | Geen |
EU GDPR Artikel 25 (1)(f) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU GDPR Artikel 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU GDPR Artikel 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU GDPR Artikel 25 (2) | ISO 27701 7.4.2 | Geen |
Ons voorsien jou van 'n voorafgeboude omgewing waar jy kan beskryf en demonstreer hoe jy die data van jou Europese en Britse kliënte beskerm.
Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word.
Jy sal ook baat by 'n reeks kragtige tydbesparende kenmerke.
Vind meer uit deur bespreek 'n kort 30 minute demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo