Verstaan GDPR Artikel 25: Databeskerming deur ontwerp en by verstek
BBP Artikel 25 handel oor databeskerming deur ontwerp en by verstek.
Hierdie konsep verseker dat die databeheerder 'n datasubjek se privaatheid in elke stadium van hul werking in ag neem, en ontwerp dataverwerkingsbedrywighede wat GDPR in die hart van 'n stel doelwitte plaas.
Om dit te bereik, moet organisasies eers 'n duidelike stel privaatheidsdoelwitte definieer voordat hulle die ingenieurswese en daaropvolgende implementering van 'n dataverwerkingsoperasie (of, by gevolmagtigde, 'n produk) onderneem.
GDPR Artikel 25 Regstekst
EU GDPR weergawe
Databeskerming deur ontwerp en by verstek
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.
- Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.
- 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.
Britse GDPR-weergawe
Databeskerming deur ontwerp en by verstek
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.
- Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.
- 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Tegniese Kommentaar
Wanneer 'n organisasie van plan is om 'n dataverwerkingsbewerking te vervaardig wat voldoen aan databeskerming 'deur ontwerp' en 'by verstek', is daar verskeie belangrike faktore om in ag te neem:
- Tegnologiese ontwikkelings.
- Implementeringskoste.
- Die aard van die operasie (konteks en doel).
- Risiko's en die vryhede van die individu.
- Omvang (dws waar data ingesamel moet word).
- Minimalisering van data.
- Die konsep van 'toepaslike' maatreëls.
ISO 27701 Klousule 5.2.1 (Verstaan die organisasie en die konteks daarvan) en EU GDPR Artikel 25 (3)
Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.
Die organisasie moet in staat wees om te verstaan hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan van die beveiliging van PII moet geïdentifiseer en aangespreek word.
Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.
Dit sluit in:
- Hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite'.
- Met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures.
- Enige administratiewe faktore, insluitend die daaglikse bestuur van die maatskappy.
- Derdeparty-ooreenkomste of dienskontrakte wat die potensiaal het om 'n impak op PII en privaatheidbeskerming te hê.
ISO 27701 Klousule 6.10.2.4 (Vertroulikheid of nie-openbaarmakingsooreenkomste) en EU GDPR Artikel 25 (1)(f)
Organisasies moet nie-openbaarmakingsooreenkomste (NDA's) en vertroulikheidsooreenkomste gebruik om die opsetlike of toevallige bekendmaking van sensitiewe inligting aan ongemagtigde personeel te beskerm.
By die opstel, implementering en instandhouding van sulke ooreenkomste, moet organisasies:
- Bied 'n definisie vir die inligting wat beskerm moet word.
- Skets die verwagte duur van die ooreenkoms duidelik.
- Noem duidelik enige vereiste aksies sodra 'n ooreenkoms beëindig is.
- Enige verantwoordelikhede wat deur bevestigde ondertekenaars ooreengekom word.
- Eienaarskap van inligting (insluitend IP en handelsgeheime).
- Hoe ondertekenaars toegelaat word om die inligting te gebruik.
- Beskryf die organisasie se reg om vertroulike inligting te monitor duidelik.
- Enige reperkussies wat sal ontstaan as gevolg van nie-nakoming.
- Hersien gereeld hul vertroulikheidsbehoeftes en pas enige toekomstige ooreenkomste dienooreenkomstig aan.
Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge oorweeg wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 Kontroles 5.31, 5.32, 5.33 en 5.34).
Ondersteun ISO 27002-kontroles
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
ISO 27701 Klousule 6.11.2.1 (Beleid vir Veilige Ontwikkeling) en EU GDPR Artikel 25 (1)
Organisasies moet verseker dat die ontwikkelingslewensiklus geskep word met privaatheidbeskerming in gedagte.
Om dit te bereik, moet organisasies:
- Werk met aparte ontwikkeling-, toets- en ontwikkelingsomgewings (sien ISO 27002 Beheer 8.31).
- Publiseer leiding oor privaatheidbeskerming deur die ontwikkelingslewensiklus, insluitend metodologieë, koderingsriglyne en programmeertale (sien ISO 27002 Kontroles 8.28, 8.27 en 5.8).
- Skets sekuriteitsvereistes in die spesifikasie- en ontwerpfase (sien ISO 27002 Beheer 5.8).
- Implementeer sekuriteitskontrolepunte in alle relevante projekte (sien ISO 27002 Beheer 5.8).
- Onderneem stelsel- en sekuriteitstoetse, insluitend kodeskanderings en penetrasietoetse (sien ISO 27002 Beheer 5.8).
- Bied veilige bewaarplekke vir alle bronkode aan (sien ISO 27002 Kontroles 8.4 en 8.9).
- Oefen streng weergawebeheerprosedures toe (sien ISO 27002 Beheer 8.32).
- Bied personeel privaatheidbeskerming en toepassingsekuriteitsopleiding aan (sien ISO 27002 Beheer 8.28).
- Ontleed 'n ontwikkelaar se vermoë om kwesbaarhede op te spoor, te versag en uit te roei (sien ISO 27002 Beheer 8.28).
- Dokumenteer enige heersende of toekomstige lisensievereistes (sien ISO 27002 Beheer 8.30).
Ondersteun ISO 27002-kontroles
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.11.2.5 (Veilige Ontwikkelingsomgewing) en EU GDPR Artikel 25 (1)
Organisatoriese stelsel moet ontwerp, gedokumenteer, geïmplementeer en onderhou word met privaatheidbeskerming in gedagte:
Ingenieursbeginsels moet ontleed:
- 'n Wye reeks sekuriteitskontroles wat nodig is om PII teen spesifieke en algemene bedreigings te beskerm.
- Hoe goed toegerus sekuriteitskontroles is om groot sekuriteitsgebeurtenisse te hanteer.
- Geteikende kontroles wat onderskei word van individuele besigheidsprosesse.
- Waar op die netwerk en hoe sekuriteitskontroles geïmplementeer moet word.
- Hoe verskeie kontroles in harmonie met mekaar werk.
Ingenieursbeginsels moet in ag neem:
- Argitektoniese integrasie.
- Tegniese sekuriteitsmaatreëls (enkripsie, IAM, DAM, ens.)
- Hoe goed toegerus die organisasie is om die gekose oplossing te implementeer en in stand te hou.
- Bedryfsriglyne vir beste praktyke.
Veilige stelselingenieurswese moet die volgende insluit:
- Goed gevestigde industriestandaard argitektoniese beginsels.
- 'n Wye ontwerpoorsig wat kwesbaarhede uitwys en help om 'n end-tot-end-benadering tot nakoming te vorm.
- Volledige openbaarmaking van enige sekuriteitskontroles wat nie aan die verwagte vereistes voldoen nie.
- Stelsel verharding.
Organisasies behoort 'n 'nul vertroue'-benadering tot sekuriteit te gee.
Waar die organisasie ontwikkeling aan derdeparty-organisasies uitkontrakteer, moet pogings aangewend word om te verseker dat die vennoot se sekuriteitsbeginsels in lyn is met die organisasie se eie.
Ondersteun ISO 27002-kontroles
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 Klousule 7.4.2 (Beperk verwerking) en EU GDPR Artikel 25 (2)
Organisasies moet ook slegs PII verwerk as dit relevant, proporsioneel en nodig is om 'n gestelde doel te vervul, insluitend:
- Bekendmaking.
- Stoor.
- Toeganklikheid.
Ondersteun ISO 27701-klousules en ISO 27002-kontroles
| GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
|---|---|---|
| EU GDPR Artikel 25 (3) | ISO 27701 5.2.1 | Geen |
| EU GDPR Artikel 25 (1)(f) | ISO 27701 6.10.2.4 |
ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
| EU GDPR Artikel 25 (1) | ISO 27701 6.11.2.1 |
ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
| EU GDPR Artikel 25 (1) | ISO 27701 6.11.2.5 |
ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
| EU GDPR Artikel 25 (2) | ISO 27701 7.4.2 | Geen |
Hoe ISMS.online help
Ons voorsien jou van 'n voorafgeboude omgewing waar jy kan beskryf en demonstreer hoe jy die data van jou Europese en Britse kliënte beskerm.
Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word.
Jy sal ook baat by 'n reeks kragtige tydbesparende kenmerke.
- ROPA maklik gemaak
- Assessering sjablone
- 'n Veilige spasie vir DRR (Data Subject Rights Requests)
- Oortredingsbestuur
Vind meer uit deur bespreek 'n kort 30 minute demo.
