Hoe om voldoening aan GDPR Artikel 28 te demonstreer

Britse GDPR-weergawe

verwerker

1. Waar verwerking namens 'n beheerder uitgevoer moet word, sal die kontroleerder slegs verwerkers gebruik wat voldoende waarborge verskaf om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat verwerking aan die vereistes van hierdie Regulasie sal voldoen en die beskerming van die regte van die datasubjek.
2. Die verwerker sal nie 'n ander verwerker betrek sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. In die geval van algemene skriftelike magtiging, sal die verwerker die beheerder in kennis stel van enige voorgenome veranderinge rakende die byvoeging of vervanging van ander verwerkers, en sodoende die beheerder die geleentheid gee om beswaar teen sodanige veranderinge te maak.
3. Verwerking deur 'n verwerker sal beheer word deur 'n kontrak of ander regshandeling kragtens nasionale wetgewing, wat bindend is op die verwerker met betrekking tot die kontroleerder en wat die onderwerp en duur van die verwerking, die aard en doel van die verwerking uiteensit , die tipe persoonlike data en kategorieë van datasubjekte en die verpligtinge en regte van die kontroleerder. Daardie kontrak of ander regshandeling moet in die besonder bepaal dat die verwerker:
• (a) Verwerk die persoonlike data slegs op gedokumenteerde instruksies van die kontroleerder, insluitend met betrekking tot oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, tensy dit vereis word deur die nasionale wetgewing waaraan die verwerker onderworpe is; in so 'n geval, sal die verwerker die beheerder van daardie wetlike vereiste inlig voor verwerking, tensy daardie wet sodanige inligting op belangrike gronde van openbare belang verbied.
• (b) Verseker dat persone wat gemagtig is om die persoonlike data te verwerk hulself tot vertroulikheid verbind het of onder 'n toepaslike statutêre verpligting van vertroulikheid is.
• (c) Neem alle maatreëls wat ingevolge artikel 32 vereis word.
• (d) Respekteer die voorwaardes waarna in paragrawe 2 en 4 verwys word vir die aanstelling van 'n ander verwerker.
• (e) Met inagneming van die aard van die verwerking, help die kontroleerder deur toepaslike tegniese en organisatoriese maatreëls, sover dit moontlik is, vir die nakoming van die kontroleerder se verpligting om te reageer op versoeke vir die uitoefening van die datasubjek se regte neergelê in Hoofstuk III .
• (f) Help die beheerder om nakoming van die verpligtinge ingevolge artikels 32 tot 36 te verseker, met inagneming van die aard van verwerking en die inligting wat tot die verwerker beskikbaar is.
• (g) Na die keuse van die kontroleerder, skrap of stuur al die persoonlike data aan die kontroleerder terug na die einde van die verskaffing van dienste met betrekking tot verwerking, en vee bestaande kopieë uit tensy die nasionale wetgewing die berging van die persoonlike data vereis.
• (h) Stel alle inligting beskikbaar aan die kontroleerder wat nodig is om voldoening aan die verpligtinge neergelê in hierdie artikel te demonstreer en voorsiening te maak vir en by te dra tot oudits, insluitend inspeksies, uitgevoer deur die kontroleerder of 'n ander ouditeur wat deur die kontroleerder gemagtig is.
   
  Met betrekking tot punt (h) van die eerste subparagraaf, moet die verwerker die beheerder onmiddellik in kennis stel indien, na sy mening, 'n opdrag hierdie Regulasie of ander nasionale wetgewing met betrekking tot databeskermingsverpligtinge oortree.
4. Waar 'n verwerker 'n ander verwerker aanstel om spesifieke verwerkingsaktiwiteite namens die kontroleerder uit te voer, word dieselfde databeskermingsverpligtinge soos uiteengesit in die kontrak of ander regshandeling tussen die kontroleerder en die verwerker soos bedoel in paragraaf 3 opgelê ander verwerker by wyse van 'n kontrak of ander regshandeling kragtens binnelandse wetgewing, veral die verskaffing van voldoende waarborge om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat die verwerking aan die vereistes van hierdie Regulasie sal voldoen. Waar daardie ander verwerker versuim om sy databeskermingsverpligtinge na te kom, bly die aanvanklike verwerker ten volle aanspreeklik teenoor die beheerder vir die uitvoering van daardie ander verwerker se verpligtinge.
5. Nakoming van 'n verwerker aan 'n goedgekeurde gedragskode soos bedoel in artikel 40 of 'n goedgekeurde sertifiseringsmeganisme soos bedoel in artikel 42 kan gebruik word as 'n element waardeur voldoende waarborge soos bedoel in paragrawe 1 en 4 van hierdie artikel getoon word .
6. Sonder benadeling van 'n individuele kontrak tussen die kontroleerder en die verwerker, kan die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 van hierdie Artikel verwys word, in sy geheel of gedeeltelik gebaseer wees op standaard kontraktuele klousules waarna verwys word in paragraaf 8 van hierdie artikel, insluitend wanneer hulle deel is van 'n sertifisering wat ingevolge artikels 42 en 43 aan die kontroleerder of verwerker toegestaan ​​is.
7. Die Kommissaris kan standaard kontraktuele klousules aanvaar vir die aangeleenthede waarna in paragraaf 3 en 4 van hierdie Artikel verwys word.
8. Die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
9. Sonder afbreuk aan artikels 82, 83 en 84, indien 'n verwerker hierdie Regulasie oortree deur die doeleindes en metodes van verwerking te bepaal, word die verwerker as 'n beheerder ten opsigte van daardie verwerking beskou.

Tegniese Kommentaar

GDPR Artikel 28 handel oor 8 samestellende gebiede wat bepaal hoe dataverwerkingsaktiwiteite aan derdeparty-diensverskaffers uitgekontrakteer kan word:

1. Die minimum vereistes wat nodig is om 'n diensverskaffer te gebruik.
2. Verdere inskakeling deur ander verwerkers, sodra die diensverskaffer betrokke is.
3. Die behoefte aan 'n wetlik bindende, geskrewe kontrak.
4. Sub-verwerking (sub-kontraktering).
5. Gedragskodes.
6. Kontraktuele klousules.
7. Vormvereistes.
8. Regsgevolge na 'n kontrakbreuk.

ISO 27701 Klousule 5.2.1 (Verstaan ​​die organisasie en die konteks daarvan) en EU GDPR Artikel 28

In hierdie afdeling praat ons oor GDPR Artikels 28 (10), 28 (5) en 28 (6)

Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.

Die organisasie moet in staat wees om te verstaan ​​hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan ​​van die beveiliging van PII moet geïdentifiseer en aangespreek word.

Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.

Dit sluit in:

1. Hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite'.
2. Met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures.
3. Enige administratiewe faktore, insluitend die daaglikse bestuur van die maatskappy.
4. Derdeparty-ooreenkomste of dienskontrakte wat die potensiaal het om 'n impak op PII en privaatheidbeskerming te hê.

ISO 27701 Klousule 6.12.1.2 (Aanspreek sekuriteit binne Verskaffersooreenkomste) en EU GDPR Artikel 28

In hierdie afdeling praat ons oor GDPR Artikels 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) en (3)(h)

Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.

Sodoende moet organisasies:

• Bied 'n duidelike beskrywing wat die privaatheidsinligting wat toegang moet kry, en hoe toegang tot daardie inligting verkry gaan word, uiteensit.
• Klassifiseer die privaatheidsinligting waartoe toegang verkry moet word ooreenkomstig 'n aanvaarde klassifikasieskema (sien ISO 27002 Kontroles 5.10, 5.12 en 5.13).
• Gee voldoende oorweging aan die verskaffer se eie klassifikasieskema.
• Kategoriseer regte in vier hoofareas – wetlik, statutêr, regulatories en kontraktueel – met 'n gedetailleerde beskrywing van verpligtinge per gebied.
• Verseker dat elke party verplig is om 'n reeks beheermaatreëls in te stel wat privaatheidsinligtingsekuriteitrisikovlakke monitor, assesseer en bestuur.
• Skets die behoefte aan verskafferspersoneel om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien ISO 27002 Beheer 5.20).
• Fasiliteer 'n duidelike begrip van wat beide aanvaarbare en onaanvaarbare gebruik van privaatheidsinligting en fisiese en virtuele bates van enige party uitmaak.
• Stel magtigingskontroles in wat vereis word vir verskafferkantpersoneel om toegang tot 'n organisasie se privaatheidsinligting te verkry of dit te bekyk.
• Gee oorweging aan wat gebeur in die geval van 'n kontrakbreuk, of enige versuim om aan individuele bepalings te voldoen.
• Gee 'n uiteensetting van 'n Voorvalbestuurprosedure, insluitend hoe groot gebeurtenisse gekommunikeer word.
• Verseker dat personeel opleiding in sekuriteitsbewustheid ontvang.
• (As die verskaffer toegelaat word om subkontrakteurs te gebruik) voeg vereistes by om te verseker dat subkontrakteurs in lyn is met dieselfde stel privaatheidsinligtingsekuriteitstandaarde as die verskaffer.
• Oorweeg hoe verskafferspersoneel gekeur word voor interaksie met privaatheidsinligting.
• Bepaal die behoefte aan derdeparty-attesters wat die verskaffer se vermoë om te voldoen aan organisatoriese privaatheidinligtingsekuriteitvereistes aanspreek.
• Het die kontraktuele reg om 'n verskaffer se prosedures te oudit.
• Vereis dat verskaffers verslae lewer wat die doeltreffendheid van hul eie prosesse en prosedures uiteensit.
• Fokus daarop om stappe te neem om die tydige en deeglike oplossing van enige gebreke of konflikte te beïnvloed.
• Verseker dat verskaffers met 'n voldoende BUDR-beleid werk om die integriteit en beskikbaarheid van PII en privaatheidverwante bates te beskerm.
• Vereis 'n verskaffer-kant veranderingsbestuurbeleid wat die organisasie inlig oor enige veranderinge wat die potensiaal het om privaatheidbeskerming te beïnvloed.
• Implementeer fisiese sekuriteitskontroles wat eweredig is aan die sensitiwiteit van die data wat gestoor en verwerk word.
• (Waar data oorgedra moet word) vra verskaffers om te verseker dat data en bates teen verlies, skade of korrupsie beskerm word.
• Skets 'n lys van aksies wat deur enige party geneem moet word in die geval van beëindiging.
• Vra die verskaffer om te verduidelik hoe hulle van voorneme is om privaatheidinligting te vernietig na beëindiging, of van die data word nie meer benodig nie.
• Neem stappe om minimale besigheidsonderbreking tydens 'n oorhandigingstydperk te verseker.

Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Klousule 6.15.1.1 (Identifisering van toepaslike wetgewing en kontraktuele vereistes) en EU GDPR Artikel 28

In hierdie afdeling praat ons oor GDPR Artikels 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) en (3)(h)

Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:

1. Opstel en/of wysiging van privaatheidsinligtingsekuriteitsprosedures.
2. Kategorisering van inligting.
3. Begin met risikobeoordelings wat verband hou met privaatheidsinligtingsekuriteitsaktiwiteite.
4. Die smee van verskafferverhoudings, insluitend enige kontraktuele verpligtinge regdeur die voorsieningsketting.

Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.

Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.

Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:

• Neem enige wette na wat die invoer en uitvoer van hardeware of sagteware reguleer wat die potensiaal het om 'n kriptografiese funksie te vervul.
• Verskaf toegang tot geënkripteerde inligting onder die wette van die jurisdiksie waarbinne hulle werksaam is.
• Gebruik drie sleutelelemente van enkripsie:
1. Digitale handtekeninge.
2. Seëls.
3. Digitale sertifikate.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.20

ISO 27701 Klousule 7.2.6 (Kontrakte met PII-verwerkers) en EU GDPR Artikels 28(3)(e) en 28(9)

Organisasies moet die besonderhede van enige gesamentlike PII-verwerkingsreëling uiteensit, met 'n gepaardgaande PII-beheerder – dit sluit algemene beskermingsmaatreëls en alle gepaardgaande sekuriteitsvereistes in.

Rolle en verantwoordelikhede moet duidelik en ondubbelsinnig wees, en uiteengesit in 'n wetlik-bindende dokument (soms 'n 'datadelingsooreenkoms' genoem).

Ooreenkomste kan (onder ander maatreëls) insluit:

• Waarom PII gedeel word.
• Data kategorieë.
• 'n Algemene oorsig van die PII-verwerkingsbewerking.
• Enige relevante rolle en verantwoordelikhede.
• Hoe privaatheidsinligtingsekuriteit beheer moet word.
• Watter stappe moet geneem word in die geval van 'n data-oortreding.
• Hoe PII behou moet word, en vernietig moet word wanneer dit nie meer nodig is nie.
• Wat gebeur wanneer enige van die partye die ooreenkoms verbreek.
• Wat enige party se verpligtinge teenoor PII-prinsipale is.
• Watter meganismes is in plek om PII-prinsipale van toepaslike besonderhede van die gesamentlike ooreenkoms te voorsien.
• Hoe PII-prinsipale amptelike versoeke kan rig, en hoe om 'n antwoord te formuleer en te lewer.
• Kontakpunte – beide intern en vir PII-prinsipale om te gebruik.

ISO 27701 Klousule 8.2.1 (Kliënteooreenkoms) en EU GDPR Artikel 28

In hierdie afdeling praat ons oor GDPR Artikels 28 (3)(e) en 28 (3)(f) en 28 (9)

Kliëntkontrakte moet die volgende insluit:

• Die konsep van 'privaatheid deur ontwerp' (sien ISO 27701 Klousules 7.4 en 8.4).
• Hoe die organisasie beoog om sekuriteit van verwerking te bereik.
• Hoe oortredings aangemeld moet word, insluitend klante, skoolhoofde en regulatoriese owerhede.
• Hoe Privaatheidsimpakbeoordelings hanteer moet word.
• Bevestiging van die organisasie se voorneme om hulp aan PII-beskermingsowerhede te verleen.

Ondersteun ISO 27701-klousules

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 Klousule 8.2.2 (Organisasie se doeleindes) en EU GDPR Artikel 28 (3)(a)

Kontrakte moet SLA's insluit wat verband hou met wedersydse doelwitte, en enige gepaardgaande tydskale waarbinne dit voltooi moet word.

Organisasies moet hul reg erken om die afsonderlike metodes te kies wat gebruik word om PII te verwerk, wat wettiglik bereik waarna die kliënt soek, maar sonder dat dit nodig is om gedetailleerde toestemmings te verkry oor hoe die organisasie te werk gaan op 'n tegniese vlak.

ISO 27701 Klousule 8.2.4 (Skendende instruksies) en EU GDPR Artikel 28 (3)(h)

Organisasies moet 'n deeglike werkende begrip handhaaf van hoe instruksies die potensiaal het om te bots met toepaslike wetgewing of regulatoriese verpligtinge.

Oortredings vind gewoonlik plaas rondom drie faktore.

1. Hoe tegnologie gebruik word.
2. Die uitgangspunt van die instruksie.
3. Enige kontraktuele verpligtinge.

ISO 27701 Klousule 8.2.5 (Kliëntverpligtinge) en EU GDPR Artikel 28 (3)(h)

Organisasies moet in staat wees om hul kliënte van voldoende inligting te voorsien, sodat daardie kliënte in staat is om hul verpligtinge op enige gegewe tydstip na te kom.

Die vereiste inligting kan 'n wye reeks funksies insluit, maar hou gewoonlik verband met interne oudits, en die organisasie se rol in die fasilitering daarvan deur die verskaffing van inligting.

ISO 27701 Klousule 8.3.1 (Verpligtinge teenoor PII-prinsipale) en EU GDPR Artikel 28 (3)(h)

Beheerders se verpligtinge word deur drie faktore beheer:

1. Wetgewing.
2. Regulasie.
3. Kontrakte.

Kontrakte moet enige inligting or tegniese bedrywighede wat die organisasie in staat stel om sy verpligtinge as beheerder na te kom.

ISO 27701 Klousule 8.4.2 (Terugbesorging, oordrag of wegdoening van PII) en EU GDPR Artikel 28 (3)(g)

Daar is verskeie scenario's wat die wegdoening van PII vereis, insluitend (maar nie beperk nie tot):

• Stuur enige PII aan die kliënt terug.
• Die verskaffing van die PII aan 'n ander organisasie.
• Vernietig inligting.
• De-identifikasie.
• Argiveer.

Organisasies moet kategoriese versekerings gee dat enige PII wat nie meer nodig is nie vernietig gaan word in ooreenstemming met enige heersende wetgewing of streeksriglyne.

Alle wegdoeningsbeleide moet op aanvraag vir die kliënt beskikbaar wees en moet die tydperk dek wat organisasies het om PII te vernietig, sodra 'n kontrak beëindig is.

ISO 27701 Klousule 8.5.4 (Kennisgewing van PII-openbaarmakingsversoeke) en EU GDPR Artikel 28 (3)(a)

Organisasies moet 'n prosedure opstel wat bepaal hoe PII-prinsipale in kennis gestel word van wetlik bindende derdeparty-versoeke vir hul inligting, insluitend 'n redelike tydraamwerk en 'n kontraktuele bepaling wat die hele proses uiteensit.

Bowenal moet organisasies voldoen aan die versoeke van wetstoepassingsagentskappe, wat die reg het om te versoek dat die kliënt nie van enige versoek in kennis gestel word nie, en verseker dat hulle nie enige wette oortree deur die kliënt per ongeluk of opsetlik van die situasie in te lig nie.

ISO 27701 Klousule 8.5.6 (Bekendmaking van subkontrakteurs wat gebruik word om PII te verwerk) en EU GDPR Artikels 28 (2) en (28)(4)

Alle bepalings vir die gebruik van subkontrakteurs moet as sodanig in die SLA/kliëntkontrak gelys word.

Inligting oor subkontrakteurs moet die volgende insluit:

• Die subkontrakteurs se naam.
• Enige lande waarheen die subkontrakteur data kan oordra (sien ISO 27701 Klousule 8.5.2), sodat die kliënt in staat is om enige PII-prinsipale in te lig.
• Hoe daar van die subkontrakteur verwag word om aan die behoeftes van die organisasie te voldoen (sien ISO 27701 Klousule 8.5.7).

NDA's moet opgestel word om enige inligting bekend te maak wat 'n verhoogde sekuriteitsrisiko sou verteenwoordig as dit in die openbaar blootgestel word.

Ondersteun ISO 27701-klousules

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 Klousule 8.5.7 (Betrokkenheid van 'n subkontrakteur om PII te verwerk) en EU GDPR Artikels 28 (2) en 28 (3) (d)

Organisasies moet skriftelike goedkeuring van hul kliënte verkry voordat enige PII deur 'n derdeparty-organisasie verwerk word.

Subkontrakteurs moet onderhewig wees aan 'n bindende ooreenkoms (gewoonlik in die vorm van 'n skriftelike kontrak), wat verseker dat subkontrakteurs hul verpligtinge verstaan ​​ten opsigte van die implementering van die kontroles wat in ISO 27701 Bylae B gelys word.

Kontrakte moet verskeie risikobeoordelingsprosesse in ag neem (sien ISO 27701 Klousule 5.4.1.2), en die hele omvang van die organisasie se PII-verwerkingsoperasie (sien ISO 27701 Klousule 6.12). Soos hierbo, moet alle kontroles gelys in Bylae B nagekom word, met enige weglatings gelys, saam met die regverdigings daarvoor.

Ondersteun ISO 27701-klousules

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 Klousule 8.4 (Verandering van Subkontrakteur na Proses PII) en EU GDPR GDPR Artikel 28 (2)

Wanneer die behoefte ontstaan ​​om die manier waarop die organisasie enige element van sy PII-verwerkingsoperasie uitkontrakteer te verander, moet kliënte vroegtydig van die veranderinge ingelig word om hulle tyd te gee om genoemde veranderinge te bevraagteken of daarteen beswaar te maak.

Kontrakte moet klousules insluit wat voorsiening maak vir skriftelike magtiging van die kliënt om voort te gaan met die verandering, voordat enige PII verwerk word.

Organisasies kan ook goedkeuring soek vir veranderinge binne ad-hoc geskrewe ooreenkomste, buite enige kontraktuele bepalings.

Ondersteun ISO 27701-klousules en ISO 27002-kontroles

Hoe ISMS.online help

Gebou volgens ISO 27701, in lyn met ander regulasies.

Met ISO 27701 kan u 'n privaatheidsinligtingbestuurstelsel skep wat aan die meeste privaatheidsregulasies voldoen. Dit sluit die EU s'n in Regulasie Algemene Data Protection, BS 10012 en Suid-Afrika se POPIA.

Jy kan maklik die internasionale standaard volg met ons vereenvoudigde, veilige en volhoubare sagteware.

Die alles-in-een-platform wat ons verskaf, verseker dat u privaatheidswerk met ISO 27701 ooreenstem en aan die vereistes daarvan voldoen.

Vind meer uit deur bespreek 'n kort 30 minute demo.