Hoe om voldoening aan GDPR Artikel 25 te demonstreer

Databeskerming deur ontwerp en by verstek

Bespreek 'n demo

jonk, vroulik, entrepreneur, vryskut, werk, gebruik 'n, skootrekenaar, in, coworking

BBP Artikel 25 handel oor databeskerming deur ontwerp en by verstek.

Hierdie konsep verseker dat die databeheerder 'n datasubjek se privaatheid in elke stadium van hul werking in ag neem, en ontwerp dataverwerkingsbedrywighede wat GDPR in die hart van 'n stel doelwitte plaas.

Om dit te bereik, moet organisasies eers 'n duidelike stel privaatheidsdoelwitte definieer voordat hulle die ingenieurswese en daaropvolgende implementering van 'n dataverwerkingsoperasie (of, by gevolmagtigde, 'n produk) onderneem.

GDPR Artikel 25 Regstekst

EU GDPR weergawe

Databeskerming deur ontwerp en by verstek

  1. Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.

  2. Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.

  3. 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.

Britse GDPR-weergawe

Databeskerming deur ontwerp en by verstek

  1. Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir regte en vryhede van natuurlike persone wat deur die verwerking ingehou word, moet die beheerder, implementeer toepaslike tegniese en organisatoriese maatreëls, soos pseudonimisering, wat ontwerp is om databeskermingsbeginsels, soos data-minimalisering, te implementeer in 'n doeltreffende wyse en om die nodige voorsorgmaatreëls in die verwerking te integreer ten einde aan die vereistes van hierdie Regulasie te voldoen en die regte van datasubjekte te beskerm.

  2. Die kontroleerder sal toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker dat, by verstek, slegs persoonlike data wat nodig is vir elke spesifieke doel van die verwerking verwerk word. Daardie verpligting is van toepassing op die hoeveelheid persoonlike data wat ingesamel is, die omvang van hul verwerking, die tydperk van hul berging en hul toeganklikheid. In die besonder sal sulke maatreëls verseker dat persoonlike data by verstek nie toeganklik gemaak word sonder die individu se ingryping aan 'n onbepaalde aantal natuurlike persone nie.

  3. 'n Goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 kan as 'n element gebruik word om voldoening aan die vereistes uiteengesit in paragrawe 1 en 2 van hierdie Artikel te demonstreer.

Spring na Onderwerp
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Mark Wightman
Hoof Tegniese Beampte Aluma
100% van ons gebruikers slaag die eerste keer sertifisering
Bespreek jou demo

Tegniese Kommentaar

Wanneer 'n organisasie van plan is om 'n dataverwerkingsbewerking te vervaardig wat voldoen aan databeskerming 'deur ontwerp' en 'by verstek', is daar verskeie belangrike faktore om in ag te neem:

  • Tegnologiese ontwikkelings.

  • Implementeringskoste.

  • Die aard van die operasie (konteks en doel).

  • Risiko's en die vryhede van die individu.

  • Omvang (dws waar data ingesamel moet word).

  • Minimalisering van data.

  • Die konsep van 'toepaslike' maatreëls.

ISO 27701 Klousule 5.2.1 (Verstaan ​​die organisasie en die konteks daarvan) en EU GDPR Artikel 25 (3)

Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.

Die organisasie moet in staat wees om te verstaan ​​hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan ​​van die beveiliging van PII moet geïdentifiseer en aangespreek word.

Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.

Dit sluit in:

  • Hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite'.

  • Met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures.

  • Enige administratiewe faktore, insluitend die daaglikse bestuur van die maatskappy.

  • Derdeparty-ooreenkomste of dienskontrakte wat die potensiaal het om 'n impak op PII en privaatheidbeskerming te hê.

ISO 27701 Klousule 6.10.2.4 (Vertroulikheid of nie-openbaarmakingsooreenkomste) en EU GDPR Artikel 25 (1)(f)

Organisasies moet nie-openbaarmakingsooreenkomste (NDA's) en vertroulikheidsooreenkomste gebruik om die opsetlike of toevallige bekendmaking van sensitiewe inligting aan ongemagtigde personeel te beskerm.

By die opstel, implementering en instandhouding van sulke ooreenkomste, moet organisasies:

  • Bied 'n definisie vir die inligting wat beskerm moet word.

  • Skets die verwagte duur van die ooreenkoms duidelik.

  • Noem duidelik enige vereiste aksies sodra 'n ooreenkoms beëindig is.

  • Enige verantwoordelikhede wat deur bevestigde ondertekenaars ooreengekom word.

  • Eienaarskap van inligting (insluitend IP en handelsgeheime).

  • Hoe ondertekenaars toegelaat word om die inligting te gebruik.

  • Beskryf die organisasie se reg om vertroulike inligting te monitor duidelik.

  • Enige reperkussies wat sal ontstaan ​​as gevolg van nie-nakoming.

  • Hersien gereeld hul vertroulikheidsbehoeftes en pas enige toekomstige ooreenkomste dienooreenkomstig aan.

Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge oorweeg wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 Kontroles 5.31, 5.32, 5.33 en 5.34).

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 Klousule 6.11.2.1 (Beleid vir Veilige Ontwikkeling) en EU GDPR Artikel 25 (1)

Organisasies moet verseker dat die ontwikkelingslewensiklus geskep word met privaatheidbeskerming in gedagte.

Om dit te bereik, moet organisasies:

  1. Werk met aparte ontwikkeling-, toets- en ontwikkelingsomgewings (sien ISO 27002 Beheer 8.31).

  2. Publiseer leiding oor privaatheidbeskerming deur die ontwikkelingslewensiklus, insluitend metodologieë, koderingsriglyne en programmeertale (sien ISO 27002 Kontroles 8.28, 8.27 en 5.8).

  3. Skets sekuriteitsvereistes in die spesifikasie- en ontwerpfase (sien ISO 27002 Beheer 5.8).

  4. Implementeer sekuriteitskontrolepunte in alle relevante projekte (sien ISO 27002 Beheer 5.8).

  5. Onderneem stelsel- en sekuriteitstoetse, insluitend kodeskanderings en penetrasietoetse (sien ISO 27002 Beheer 5.8).

  6. Bied veilige bewaarplekke vir alle bronkode aan (sien ISO 27002 Kontroles 8.4 en 8.9).

  7. Oefen streng weergawebeheerprosedures toe (sien ISO 27002 Beheer 8.32).

  8. Bied personeel privaatheidbeskerming en toepassingsekuriteitsopleiding aan (sien ISO 27002 Beheer 8.28).

  9. Ontleed 'n ontwikkelaar se vermoë om kwesbaarhede op te spoor, te versag en uit te roei (sien ISO 27002 Beheer 8.28).

  10. Dokumenteer enige heersende of toekomstige lisensievereistes (sien ISO 27002 Beheer 8.30).

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

ISO 27701 Klousule 6.11.2.5 (Veilige Ontwikkelingsomgewing) en EU GDPR Artikel 25 (1)

Organisatoriese stelsel moet ontwerp, gedokumenteer, geïmplementeer en onderhou word met privaatheidbeskerming in gedagte:

Ingenieursbeginsels moet ontleed:

  • 'n Wye reeks sekuriteitskontroles wat nodig is om PII teen spesifieke en algemene bedreigings te beskerm.

  • Hoe goed toegerus sekuriteitskontroles is om groot sekuriteitsgebeurtenisse te hanteer.

  • Geteikende kontroles wat onderskei word van individuele besigheidsprosesse.

  • Waar op die netwerk en hoe sekuriteitskontroles geïmplementeer moet word.

  • Hoe verskeie kontroles in harmonie met mekaar werk.

Ingenieursbeginsels moet in ag neem:

  1. Argitektoniese integrasie.

  2. Tegniese sekuriteitsmaatreëls (enkripsie, IAM, DAM, ens.)

  3. Hoe goed toegerus die organisasie is om die gekose oplossing te implementeer en in stand te hou.

  4. Bedryfsriglyne vir beste praktyke.

Veilige stelselingenieurswese moet die volgende insluit:

  • Goed gevestigde industriestandaard argitektoniese beginsels.

  • 'n Wye ontwerpoorsig wat kwesbaarhede uitwys en help om 'n end-tot-end-benadering tot nakoming te vorm.

  • Volledige openbaarmaking van enige sekuriteitskontroles wat nie aan die verwagte vereistes voldoen nie.

  • Stelsel verharding.

Organisasies behoort 'n 'nul vertroue'-benadering tot sekuriteit te gee.

Waar die organisasie ontwikkeling aan derdeparty-organisasies uitkontrakteer, moet pogings aangewend word om te verseker dat die vennoot se sekuriteitsbeginsels in lyn is met die organisasie se eie.

Ondersteun ISO 27002-kontroles

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 Klousule 7.4.2 (Beperk verwerking) en EU GDPR Artikel 25 (2)

Organisasies moet ook slegs PII verwerk as dit relevant, proporsioneel en nodig is om 'n gestelde doel te vervul, insluitend:

  1. Bekendmaking.

  2. Stoor.

  3. Toeganklikheid.

Ondersteun ISO 27701-klousules en ISO 27002-kontroles

GDPR artikelISO 27701-klousuleISO 27002-kontroles
EU GDPR Artikel 25 (3)ISO 27701 5.2.1Geen
EU GDPR Artikel 25 (1)(f)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU GDPR Artikel 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU GDPR Artikel 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU GDPR Artikel 25 (2)ISO 27701 7.4.2Geen

Hoe ISMS.online help

Ons voorsien jou van 'n voorafgeboude omgewing waar jy kan beskryf en demonstreer hoe jy die data van jou Europese en Britse kliënte beskerm.

Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word.

Jy sal ook baat by 'n reeks kragtige tydbesparende kenmerke.

  • ROPA maklik gemaak
  • Assessering sjablone
  • 'n Veilige spasie vir DRR (Data Subject Rights Requests)
  • Oortredingsbestuur

Vind meer uit deur bespreek 'n kort 30 minute demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind