BBP Artikel 5 bevat die meeste inligting wat vanuit 'n ISO-perspektief oorweeg moet word.
Artikel 5 kan grootliks beskou word as 'n stel onderliggende beginsels wat deur die geheel van beide die VK- en EU-wetgewing vloei, wat talle verskillende gebiede van voldoening insluit, insluitend:
Organisasies moet ten volle vertroud wees met Artikel 5 om die subtiele nuanses wat GDPR oor ander areas van die wetgewing bied beter te verstaan.
Beginsels met betrekking tot die verwerking van persoonlike data
- Persoonlike data sal wees:
- (a) wettig, regverdig en op 'n deursigtige wyse met betrekking tot die datasubjek verwerk ('regmatigheid, regverdigheid en deursigtigheid');
- (b) vir gespesifiseerde, eksplisiete en wettige doeleindes ingesamel en nie verder verwerk word op 'n wyse wat onversoenbaar is met daardie doeleindes nie; verdere verwerking vir argiefdoeleindes in die openbare belang, wetenskaplike of historiese navorsingsdoeleindes of statistiese doeleindes sal, ooreenkomstig artikel 89(1), nie as onverenigbaar met die aanvanklike doeleindes beskou word nie ('doelbeperking');
- (c) voldoende, relevant en beperk tot wat nodig is met betrekking tot die doeleindes waarvoor dit verwerk word ('dataminimisering');
- (d) akkuraat en, waar nodig, op datum gehou; elke redelike stap moet geneem word om te verseker dat persoonlike data wat onakkuraat is, met inagneming van die doeleindes waarvoor dit verwerk word, sonder versuim uitgevee of reggestel word ('akkuraatheid');
- (e) gehou in 'n vorm wat identifikasie van datasubjekte toelaat vir nie langer as wat nodig is vir die doeleindes waarvoor die persoonlike data verwerk word nie; persoonlike data kan vir langer tydperke gestoor word in soverre die persoonlike data uitsluitlik vir argiveringsdoeleindes in die openbare belang, wetenskaplike of historiese navorsingsdoeleindes of statistiese doeleindes verwerk sal word in ooreenstemming met Artikel 89(1) onderhewig aan implementering van die toepaslike tegniese en organisatoriese maatreëls wat deur hierdie Regulasie vereis word om die regte en vryhede van die datasubjek te beskerm ('bergingsbeperking');
- (f) verwerk word op 'n wyse wat toepaslike sekuriteit van die persoonlike data verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade, met behulp van toepaslike tegniese of organisatoriese maatreëls ('integriteit en vertroulikheid').;
- Die kontroleerder sal verantwoordelik wees vir, en in staat wees om voldoening aan, paragraaf 1 ('verantwoordbaarheid') te demonstreer.
Vanuit 'n tegniese perspektief verskaf Artikel 5 grootliks die wetlike raamwerk waarbinne organisasies moet funksioneer, om aan voldoening te bly, oor ses leidende beginsels:
Alhoewel dit ongelooflik vaag is, is 'billikheid' 'n algehele vereiste van die GDPR, en dien dit as 'n interpreterende hulpmiddel vir situasies wat dalk nie in stryd is met die letter van die wet nie, maar duidelik nie 'billik' vanuit die perspektief van 'n individu en hul regte.
'Deursigtigheid' vereis dat die datasubjek ten volle bewus is van die verwerking van hul data. GDPR vereis dat inligting wat aan die datasubjek verskaf word, binne 'n redelike tydraamwerk afgelewer moet word, maklik toeganklik en vry van foute.
GDPR Artikel 5 bepaal dat enige persoonlike data wat ingesamel word beperk moet word tot baie spesifieke en wettige doeleindes, en nie hertoegeë moet word vir enige ander doel as wat oorspronklik bedoel was nie.
Dataminimalisering onder GDPR Artikel 5 word gedefinieer onder twee terme – 'verwerking' en 'doel'. In wese moet organisasies verseker dat hulle slegs data tot die minimum vlak verwerk om die aanvanklike doel daarvan te bereik.
Data moet te alle tye akkuraat en op datum gehou word. Indien bevind word dat data onakkuraat is, bepaal Artikel 5 dat organisasies 'redelike stappe' moet neem om enige foute wat gemaak is, reg te stel. Al met al moet individue behoorlik verteenwoordig word deur die data wat op hulle gehou word, sodat enige besluite wat geneem word nie geneem word op 'n wanindruk van wie hulle is nie.
Organisasies moet bedag wees op die feit dat verwerkingsbedrywighede nie vir ewig moet voortgaan nie. Sodra 'n aanvanklike stel doelwitte bereik is, moet dataverwerking stop. Om dit te bereik, moet organisasies stoortye definieer voordat enige data verwerk word.
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Inligtingsoordragbedrywighede moet:
Wanneer elektroniese oordragfasiliteite gebruik word, moet organisasies:
Wanneer fisiese media (insluitend papierdokumente) tussen persele of eksterne liggings oorgedra word, moet organisasies:
Die verbale oordra van sensitiewe inligting hou 'n unieke sekuriteitsrisiko in, veral waar PII en privaatheidsbeskerming ter sprake is.
Organisasies moet werknemers herinner om:
Organisasies moet nie-openbaarmakingsooreenkomste (NDA's) en vertroulikheidsooreenkomste gebruik om die opsetlike of toevallige bekendmaking van sensitiewe inligting aan ongemagtigde personeel te beskerm.
By die opstel, implementering en instandhouding van sulke ooreenkomste, moet organisasies:
Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge in ag neem wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 Kontroles 5.31, 5.32, 5.33 en 5.34).
Toepassingsekuriteitsprosedures moet saam met breër privaatheidsbeskermingsbeleide ontwikkel word, gewoonlik via 'n gestruktureerde risiko-evaluering wat verskeie veranderlikes in ag neem.
Toepassingsekuriteitsvereistes moet die volgende insluit:
Transaksionele dienste wat die vloei van privaatheiddata tussen die organisasie en 'n derdeparty-organisasie, of vennootorganisasie fasiliteer, moet:
Vir enige aansoeke wat elektroniese bestelling en/of betaling behels, moet organisasies:
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Sedert ons migreer kon ons die tyd wat aan administrasie bestee word, verminder.
Organisasies moet toetsdata versigtig kies om te verseker dat toetsaktiwiteit betroubaar en veilig is. Organisasies moet ekstra aandag daaraan skenk om te verseker dat PII nie na die ontwikkeling- en toetsomgewings gekopieer word nie.
Om operasionele data tydens toetsaktiwiteite te beskerm, moet organisasies:
Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.
Sodoende moet organisasies:
Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.
Om 'n samehangende, hoogs funksionerende voorvalbestuurbeleid te skep wat die beskikbaarheid en integriteit van privaatheidsinligting tydens kritieke voorvalle beskerm, moet organisasies:
Personeel wat betrokke is by privaatheidsinligtingsekuriteitvoorvalle moet verstaan:
Wanneer hulle met privaatheidsinligtingsekuriteitsgebeure te doen het, moet personeel:
Verslagdoeningsaktiwiteite moet rondom 4 sleutelareas gesentreer word:
Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.
Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:
Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.
Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.
Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:
Organisasies moet rekordbestuur oor 4 sleutelareas oorweeg:
Om 'n funksionele rekordstelsel te handhaaf wat PII en privaatheidverwante inligting beskerm, moet organisasies:
Organisasies moet onderwerpspesifieke beleide implementeer wat handel oor verskillende kategorieë eindpunttoestelle en sagtewareweergawes vir mobiele toestelle, en hoe sekuriteitskontroles aangepas moet word om datasekuriteit te verbeter.
'n Organisasie se mobiele toestelbeleid, prosedures en ondersteunende sekuriteitsmaatreëls moet in ag neem:
Almal in die organisasie wat afstandtoegang gebruik, moet uitdruklik bewus gemaak word van enige mobiele toestelbeleid en prosedures wat op hulle van toepassing is binne die konteks van veilige eindpunttoestelbestuur.
Gebruikers moet opdrag gegee word om:
Organisasies wat personeel toelaat om toestelle in persoonlike besit te gebruik, moet ook die volgende sekuriteitskontroles oorweeg:
By die opstel van prosedures wat oor draadlose verbinding op eindpunttoestelle handel, moet organisasies:
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
Eerder as om alle inligting op gelyke voet te plaas, moet organisasies inligting op 'n onderwerpspesifieke basis klassifiseer.
Inligtingseienaars moet vier sleutelfaktore oorweeg wanneer hulle data klassifiseer (veral met betrekking tot PII), wat periodiek hersien moet word, of wanneer sulke faktore verander:
Om 'n duidelike operasionele raamwerk te verskaf, moet inligtingkategorieë benoem word in ooreenstemming met die inherente risikovlak, sou enige voorvalle plaasvind wat enige van die bogenoemde faktore in gevaar stel.
Om kruisplatform-versoenbaarheid te verseker, moet organisasies hul inligtingkategorieë beskikbaar stel aan enige eksterne personeel met wie hulle inligting deel, en verseker dat die organisasie se eie klassifikasieskema wyd deur alle relevante partye verstaan word.
Organisasies moet versigtig wees om data te onderklassifiseer of omgekeerd te oorklassifiseer. Eersgenoemde kan lei tot foute met die groepering van PII met minder sensitiewe datatipes, terwyl eersgenoemde dikwels lei tot ekstra koste, 'n groter kans op menslike foute en verwerkingsafwykings.
Etikette is 'n sleuteldeel om te verseker dat die organisasie se PII-klassifikasiebeleid (sien hierbo) nagekom word, en dat data duidelik geïdentifiseer kan word in ooreenstemming met die sensitiwiteit daarvan (bv. PII word gemerk as onderskei van minder vertroulike datatipes).
PII-etiketteringsprosedures moet definieer:
ISO bied baie ruimte vir organisasies om hul eie etiketteringtegnieke te kies, insluitend:
Wanneer organisasies beleid ontwikkel wat die hantering van mediabates wat betrokke is by die berging van PII reguleer, moet organisasies:
Wanneer bergingsmedia herdoel, hergebruik of weggedoen word, moet robuuste prosedures in plek gestel word om te verseker dat PII nie op enige manier geraak word nie, insluitend:
As toestelle wat gebruik is om PII te stoor beskadig raak, moet organisasies sorgvuldig oorweeg of dit meer gepas is om sulke media te vernietig of nie vir herstel te stuur (fout aan die kant van eersgenoemde).
sien ISO 27701 Klousule 6.5.3.1
As media ontslae geraak wil word van daardie PII wat voorheen gehou is, moet organisasies prosedures implementeer wat die vernietiging van PII en privaatheidverwante data dokumenteer, insluitend kategoriese versekering dat dit nie meer beskikbaar is nie.
By die implementering van beleide wat oor verwyderbare media handel, moet organisasies:
Organisasies moet deeglik rekord hou van enige bergingsmedia wat gebruik word om sensitiewe inligting te verwerk, insluitend:
Gedurende die proses van herdoel, hergebruik of wegdoen van bergingsmedia, moet organisasies:
Gebruikersregistrasie word beheer deur die gebruik van toegewysde 'identiteite'. Identiteite voorsien organisasies van 'n raamwerk om gebruikerstoegang tot PII en privaatheidverwante bates en materiaal te beheer, binne die grense van 'n netwerk.
Organisasie moet ses hoof riglyne volg om te verseker dat identiteite korrek bestuur word, en PII word beskerm waar dit ook al gestoor, verwerk of toegang verkry word:
Organisasies wat in vennootskap met eksterne organisasies werk (veral wolkgebaseerde platforms) moet die inherente risiko's wat met sulke praktyke geassosieer word, verstaan, en stappe neem om te verseker dat PII nie nadelig geraak word in die proses nie (sien ISO 27002 Kontroles 5.19 en 5.17).
Ons onlangse sukses met die bereiking van ISO 27001-, 27017- en 27018-sertifisering was grootliks te danke aan ISMS.online.
'Toegangsregte' beheer hoe toegang tot PII en privaatheidverwante inligting beide verleen en herroep word, met dieselfde stel riglyne.
Toegangsprosedures moet die volgende insluit:
Organisasies moet periodieke hersiening van toegangsregte oor die netwerk doen, insluitend:
Personeel wat óf die organisasie verlaat (óf opsetlik óf as 'n beëindigde werknemer), en diegene wat die onderwerp van 'n veranderingsversoek is, se toegangsregte moet gewysig word op grond van robuuste risikobestuursprosedures, insluitend:
Dienskontrakte en kontrakteur/dienskontrakte moet 'n verduideliking insluit van wat gebeur na enige pogings tot ongemagtigde toegang (sien ISO 27002 Kontroles 5.20, 6.2, 6.4, 6.6).
PII en privaatheidverwante bates moet op 'n netwerk gestoor word wat 'n reeks verifikasiekontroles bevat, insluitend:
Om die risiko van ongemagtigde toegang tot PII te voorkom en te verminder, moet organisasies:
PII en privaatheidverwante inligting is veral in gevaar wanneer die behoefte ontstaan om óf van die hand te sit, óf te herdoel berging en verwerking van bates – óf intern óf in vennootskap met 'n gespesialiseerde derdepartyverskaffer.
Bowenal moet organisasies verseker dat enige bergingsmedia wat vir wegdoening gemerk is, wat PII bevat het, moet word fisies vernietig, uitgewis or oorgeskryf (sien ISO 27002 Beheer 7.10 en 8.10).
Om te verhoed dat PII op enige manier gekompromitteer word, moet organisasies wanneer bates ontslae raak of hergebruik word:
PII en privaatheidverwante inligting is veral in gevaar wanneer sorgelose personeel en derdepartykontrakteurs versuim om werkpleksekuriteitsmaatreëls na te kom wat beskerm teen die toevallige of doelbewuste besigtiging van PII deur ongemagtigde personeel.
Organisasies moet onderwerpspesifieke duidelike lessenaar en duidelike skermbeleide opstel (op 'n werkspasie-vir-werkspasie basis indien nodig) wat insluit:
Wanneer organisasies gesamentlik 'n perseel verlaat - soos tydens 'n kantoorverhuising of soortgelyke verskuiwing - moet ek probeer om te verseker dat geen dokumentasie agtergelaat word nie, hetsy in lessenaars en liasseerstelsels, of enige wat in duister plekke verval het.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Neem 30 minute om te sien hoe ISMS.online jou ure (en ure!) bespaar!
Bespreek 'n vergaderingOrganisasies moet onderwerpspesifieke beleide opstel wat direk aanspreek hoe die organisasie die relevante areas van sy netwerk rugsteun om PII te beskerm en veerkragtigheid teen privaatheidsverwante voorvalle te verbeter.
BUDR-prosedures moet opgestel word om die primêre doelwit te bereik om dit te verseker almal besigheidskritiese data, sagteware en stelsels kan volgende herwin word verlies van data, inbraak, besigheidsonderbreking en kritieke mislukkings.
As 'n prioriteit moet BUDR-planne:
Organisasies moet aparte prosedures ontwikkel wat uitsluitlik met PII handel (al is dit vervat in hul hoof-BUDR-plan).
Streeksafwykings in PII BUDR-standaarde (kontraktueel, wetlik en regulatories) moet in ag geneem word wanneer 'n nuwe werk geskep word, poste gewysig word of nuwe PII-data by die BUDR-roetine gevoeg word.
Wanneer die behoefte ontstaan om PII te herstel na 'n BUDR-voorval, moet organisasies baie versigtig wees om die PII na sy oorspronklike toestand terug te bring, en herstelaktiwiteite te hersien om enige probleme met die nuwe data op te los.
Organisasies moet 'n log van herstelaktiwiteit hou, insluitend enige personeel wat by die herstel betrokke is, en 'n beskrywing van die PII wat herstel is.
Organisasies moet met enige wetgewende of regulatoriese agentskappe nagaan en verseker dat hul PII-herstelprosedures in ooreenstemming is met wat van hulle as 'n PII-verwerker en kontroleerder verwag word.
ISO definieer 'n 'gebeurtenis' as enige aksie wat deur 'n digitale of fisiese teenwoordigheid/entiteit op 'n rekenaarstelsel uitgevoer word.
Gebeurtenisloglêers moet die volgende bevat:
ISO identifiseer 11 gebeurtenisse/komponente wat aanteken vereis (en gekoppel aan dieselfde tydbron – sien ISO 27002 Beheer 8.17), ten einde PII-sekuriteit te handhaaf en organisatoriese privaatheidbeskerming te verbeter:
Logs moet beskerm word teen ongemagtigde veranderinge of bedryfsafwykings, insluitend:
Organisasies moet met die volgende tegnieke omgaan om log-gebaseerde sekuriteit te verbeter:
Wanneer die behoefte ontstaan om logs aan eksterne organisasies te verskaf, moet streng maatreëls getref word om PII en privaatheidverwante inligting te beskerm, in ooreenstemming met aanvaarde dataprivaatheidstandaarde (sien ISO 27002 Beheer 5.34 en bykomende leiding hieronder).
Logs sal van tyd tot tyd ontleed moet word om privaatheidbeskerming in die geheel te verbeter, en om sekuriteitsbreuke op te los en te voorkom.
Wanneer logboekanalise uitgevoer word, moet organisasies in ag neem:
Log monitering bied organisasies die kans om PII by die bron te beskerm en 'n proaktiewe benadering tot privaatheidsbeskerming te bevorder.
Organisasies moet:
ISO vereis dat organisasies logboeke met betrekking tot PII monitor deur 'n 'deurlopende en outomatiese monitering en waarskuwingsproses'. Dit kan 'n aparte stel prosedures noodsaak wat toegang tot PII monitor.
Organisasies moet verseker dat - as 'n prioriteit - logs 'n duidelike weergawe van toegang tot PII verskaf, insluitend:
Organisasies moet besluit'indien, wanneer en hoe' PII-loginligting moet aan kliënte beskikbaar gestel word, met enige kriteria wat vryelik aan die skoolhoofde self beskikbaar gestel word en groot sorg geneem word om te verseker dat PII-prinsipale slegs toegang tot inligting rakende hulle het.
Sien ISO 27701 Klousule 6.9.4.1
Organisasies moet baie aandag daaraan wy om te verseker dat logs wat PII bevat behoorlik beheer word, en voordeel trek uit veilige monitering.
Geoutomatiseerde prosedures moet in plek gestel word wat logs óf uitvee óf 'de-identifiseer', in ooreenstemming met 'n gepubliseerde retensiebeleid (sien ISO 27002 Beheer 7.4.7).
PII-prinsipale moet ten volle vertroud wees met al die verskillende redes waarom hul PII verwerk word.
Dit is die verantwoordelikheid van die organisasie om hierdie redes aan PII-hoofde oor te dra, saam met 'n 'duidelike verklaring' oor hoekom hulle hul inligting moet verwerk.
Alle dokumentasie moet duidelik, omvattend en maklik verstaanbaar wees deur enige PII-prinsipaal wat dit lees – insluitend enigiets wat met toestemming verband hou, sowel as afskrifte van interne prosedures (sien ISO 27701 Klousules 7.2.3, 7.3.2 en 7.2.8).
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISMS.online sal jou tyd en geld bespaar
Kry jou kwotasieOm 'n regsgrondslag vir die verwerking van PII te vorm, moet organisasies:
Vir elke punt hierbo genoem, moet organisasies gedokumenteerde bevestiging kan bied
Organisasies moet ook enige 'spesiale kategorieë' van PII wat met hul organisasie verband hou, in hul dataklassifikasieskema oorweeg (sien ISO 27701 Klousule 7.2.8) (klassifikasies kan van streek tot streek verskil).
As organisasies enige veranderinge aan hul onderliggende redes vir die verwerking van PII ervaar, moet dit onmiddellik in hul gedokumenteerde regsgrondslag weerspieël word.
Organisasies moet skriftelike, bindende kontrakte aangaan met enige eksterne PII-verwerker wat hulle gebruik.
Enige kontrakte moet verseker dat die PII-verwerker al die vereiste inligting wat binne ISO 27701 Bylae B vervat is, implementeer, met besondere aandag aan risikobepalingskontroles (ISO 27701 Klousule 5.4.1.2) en die algehele omvang van die verwerkingsaktiwiteite (sien ISO 27701 Klousule 6.12) ).
Organisasies moet in staat wees om die weglating van enige kontroles vervat in Bylae B, in hul verhouding met die PII-verwerker te regverdig (sien ISO 27701 Klousule 5.4.1.3).
Organisasies moet 'n deeglike stel rekords byhou wat hul optrede en verpligtinge as 'n PII-verwerker ondersteun.
Rekords (andersins bekend as 'voorraadlyste') moet 'n gedelegeerde eienaar hê, en kan die volgende insluit:
Organisasies moet prosedures opstel, dokumenteer en implementeer wat PII-prinsipale toelaat om toegang tot hul PII te verkry, reg te stel en/of uit te vee.
Prosedures moet meganismes insluit waardeur die PII-prinsipaal in staat is om die bogenoemde aksie uit te voer, insluitend hoe die organisasie die skoolhoof moet inlig indien regstellings nie gemaak kan word nie.
Organisasies moet verbind tot 'n gepubliseerde reaksietyd vir alle versoeke om toegang, regstelling of uitvee.
Dit is uiters belangrik om enige sodanige versoeke aan derde partye te kommunikeer wat PII oorgedra is (sien ISO 27701 Klousule 7.3.7).
'n PII-prinsipaal se vermoë om regstellings of skrappings aan te vra, word bepaal deur die jurisdiksie waarin die organisasie bedrywig is. As sodanig moet maatskappye hulself op hoogte hou van enige wetlike of regulatoriese veranderinge wat hul verpligtinge teenoor PII beheer.
Organisasies moet hul versameling van PII beperk op grond van drie faktore:
Organisasies moet slegs PII insamel – hetsy direk of indirek – in ooreenstemming met bogenoemde faktore, en slegs vir doeleindes wat relevant en nodig is vir hul gestelde doel.
As 'n konsep moet 'privaatheid by verstek' nagekom word – maw enige opsionele funksies moet by verstek gedeaktiveer word.
Organisasies moet stappe doen om te verseker dat PII akkuraat, volledig en op datum is, deur sy hele lewensiklus.
Organisatoriese inligtingsekuriteitsbeleide en tegniese konfigurasies moet stappe bevat wat poog om foute regdeur sy PII-verwerkingsoperasie te minimaliseer, insluitend kontroles oor hoe om op onakkuraathede te reageer.
Organisasies moet 'dataminimisering'-prosedures saamstel, insluitend meganismes soos de-identifikasie.
Dataminimalisering moet gebruik word om te verseker dat PII-insameling en verwerking beperk word tot die 'geïdentifiseerde doel' van elke funksie (sien ISO 27701 Klousule 7.2.1).
'n Groot deel van hierdie proses behels die dokumentasie van die mate waarin 'n PII-hoofinligting direk aan hulle toegeskryf moet word, en hoe minimalisering bereik moet word deur 'n verskeidenheid beskikbare metodes.
Organisasies moet die spesifieke tegnieke uiteensit wat gebruik word om PII-prinsipale te de-identifiseer, soos:
Organisasies moet óf enige PII wat nie meer 'n doel vervul, heeltemal vernietig nie, óf dit verander op 'n manier wat enige vorm van hoofidentifikasie verhoed.
Sodra die organisasie vasgestel het dat die PII nie te eniger tyd in die toekoms verwerk hoef te word nie, moet die inligting geskrap or de-geïdentifiseer, soos die omstandighede dit voorskryf.
Tydelike lêers word vir 'n aantal tegniese redes geskep, regdeur die PII-verwerking en versamelingslewensiklus, oor talle toepassings, stelsels en sekuriteitsplatforms.
Organisasies moet verseker dat hierdie lêers binne 'n redelike tyd vernietig word, in ooreenstemming met 'n amptelike bewaringsbeleid.
'n Eenvoudige manier om die bestaan van sulke lêers te identifiseer, is om periodieke kontroles van tydelike lêers oor die netwerk uit te voer. Tydelike lêers sluit dikwels in:
Organisasies moet voldoen aan 'n sg vullisverwyderingsprosedure wat tydelike lêers uitvee wanneer dit nie meer nodig is nie.
Organisasies moet duidelike beleide en prosedures hê wat bepaal hoe PII weggedoen word.
Dataverwydering is 'n wydlopende onderwerp wat 'n magdom verskillende veranderlikes bevat, gebaseer op die vereiste wegdoeningstegniek en die aard van die data waaroor weggedoen word.
Organisasies moet in ag neem:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Enige PII wat na 'n derdeparty-organisasie oorgedra sal word, moet dit gedoen word met die grootste sorg vir die inligting wat gestuur word, met behulp van veilige maniere.
Organisasies moet verseker dat slegs gemagtigde personeel toegang tot transmissiestelsels het, en dit doen op 'n manier wat maklik geoudit kan word met die uitsluitlike doel om die inligting te kry waar dit moet gaan sonder voorval.
Van die begin af moet PII slegs in ooreenstemming met die kliënt se instruksies verwerk word.
Kontrakte moet SLA's insluit wat verband hou met wedersydse doelwitte, en enige gepaardgaande tydskale waarbinne dit voltooi moet word.
Organisasies moet hul reg erken om die afsonderlike metodes te kies wat gebruik word om PII te verwerk, wat wettiglik bereik waarna die kliënt soek, maar sonder dat dit nodig is om gedetailleerde toestemmings te verkry oor hoe die organisasie te werk gaan op 'n tegniese vlak.
Organisasies moet verseker dat tydelike lêers binne 'n redelike tyd vernietig word, in ooreenstemming met 'n amptelike bewaringsbeleid en duidelike uitveeprosedures.
'n Eenvoudige manier om die bestaan van sulke lêers te identifiseer, is om periodieke kontroles van tydelike lêers oor die netwerk uit te voer.
Organisasies moet voldoen aan 'n sg vullisverwyderingsprosedure wat tydelike lêers uitvee wanneer dit nie meer nodig is nie.
Wanneer ook al die behoefte ontstaan dat PII oor 'n datanetwerk versend word (insluitend 'n toegewyde skakel), moet organisasies besig wees om te verseker dat die PII die korrekte ontvangers bereik, betyds.
Wanneer PII tussen datanetwerke oorgedra word, moet organisasies:
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR Artikel 5(1)(f) | 6.10.2.1 | 5.13 8.7 8.24 |
EU GDPR Artikel 5(1) | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU GDPR Artikel 5(1)(f) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR Artikel 5(1)(f) | 6.11.3.1 | 8.10 8.11 |
EU GDPR Artikel 5(1)(f) | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR Artikel 5(1)(f) | 6.15.1.1 | 5.20 |
EU GDPR Artikel 5 (2) | 6.15.1.3 | Geen |
EU GDPR Artikel 5(1)(f) | 6.3.2.1 | 8.9 8.16 |
EU GDPR Artikel 5(1)(f) | 6.5.2.1 | Geen |
EU GDPR Artikel 5(1)(f) | 6.5.2.2 | Geen |
EU GDPR Artikel 5(1)(f) | 6.5.3.1 | 5.14 |
EU GDPR Artikel 5(1)(f) | 6.5.3.2 | 5.14 |
EU GDPR Artikel 5(1)(f) | 6.6.2.1 | 5.17 5.19 |
EU GDPR Artikel 5(1)(f) | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU GDPR Artikel 5(1)(f) | 6.6.4.2 | Geen |
EU GDPR Artikel 5(1)(f) | 6.8.2.7 | 7.10 8.10 |
EU GDPR Artikel 5(1)(f) | 6.8.2.9 | Geen |
EU GDPR Artikel 5(1)(f) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR Artikel 5(1)(f) | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU GDPR Artikel 5(1)(f) | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU GDPR Artikel 5 (1)(b) | 7.2.1 | Geen |
EU GDPR Artikel 5 (1)(a) | 7.2.2 | Geen |
EU GDPR Artikel 5 (2) | 7.2.8 | Geen |
EU GDPR Artikel 5 (1)(d) | 7.3.6 | Geen |
EU GDPR Artikel 5 (1)(b) | 7.4.1 | Geen |
EU GDPR Artikel 5 (1)(d) | 7.4.3 | Geen |
EU GDPR Artikel 5 (1)(c) | 7.4.4 | Geen |
EU GDPR Artikel 5 (1)(c), 5 (1)(e) | 7.4.5 | Geen |
EU GDPR Artikel 5 (1)(c) | 7.4.6 | Geen |
EU GDPR Artikel 5 (1)(f) | 7.4.8 | Geen |
EU GDPR Artikel 5 (1)(f) | 7.4.9 | Geen |
EU GDPR Artikel 5 (1)(a), 5 (1)(b) | 8.2.2 | Geen |
EU GDPR Artikel 5 (1)(c) | 8.4.1 | Geen |
EU GDPR Artikel 5 (1)(f) | 8.4.3 | Geen |
Jou volledige GDPR-oplossing.
’n Voorafgeboude omgewing wat naatloos by jou bestuurstelsel inpas, laat jou toe om jou benadering tot die beskerming van Europese en Britse klantdata te beskryf en te demonstreer.
Met ISMS.online kan jy direk na GDPR voldoen en vlakke van beskerming demonstreer wat verder gaan as 'redelik', alles op een veilige, altyd-aan-plek.
In kombinasie met ons 'Neem aan, pas aan, voeg by'-implementeringsbenadering, bied die ISMS.aanlyn-platform ingeboude leiding by elke stap, wat die moeite wat nodig is om jou GDPR-voldoening te demonstreer, verminder. 'n Aantal kragtige tydbesparende kenmerke sal ook vir jou beskikbaar wees.
Vind meer uit deur bespreek 'n kort 30 minute demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Ontdek die beste manier om ISMS-sukses te behaal
Kry jou gratis gids