GDPR Artikel 25 gaat over gegevensbescherming door ontwerp en door standaardinstellingen.
Dit concept zorgt ervoor dat de gegevensbeheerder in elke fase van zijn of haar activiteiten rekening houdt met de privacy van een betrokkene, en gegevensverwerkingsactiviteiten ontwerpt die de AVG centraal stellen in een reeks doelstellingen.
Om dit te bereiken moeten organisaties eerst een duidelijke reeks privacydoelstellingen definiëren, voordat ze de engineering en daaropvolgende implementatie van een gegevensverwerkingsoperatie (of, bij proxy, een product) ondernemen.
Gegevensbescherming door ontwerp en standaard
- Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen die uit de verwerking voortvloeien, zal de verwerkingsverantwoordelijke: zowel op het moment dat de middelen voor de verwerking worden bepaald als op het moment van de verwerking zelf passende technische en organisatorische maatregelen implementeren, zoals pseudonimisering, die zijn ontworpen om de beginselen van gegevensbescherming, zoals gegevensminimalisatie, op een effectieve manier te implementeren manier en om de nodige waarborgen in de verwerking te integreren om aan de vereisten van deze verordening te voldoen en de rechten van de betrokkenen te beschermen.
- De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de omvang van de verwerking ervan, de periode van opslag en de toegankelijkheid ervan. Dergelijke maatregelen moeten er met name voor zorgen dat persoonsgegevens standaard niet zonder tussenkomst van het individu toegankelijk worden gemaakt voor een onbepaald aantal natuurlijke personen.
- Een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42 kan worden gebruikt als element om de naleving van de eisen van de leden 1 en 2 van dit artikel aan te tonen.
Gegevensbescherming door ontwerp en standaard
- Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen die uit de verwerking voortvloeien, zal de verwerkingsverantwoordelijke: zowel op het moment dat de middelen voor de verwerking worden bepaald als op het moment van de verwerking zelf passende technische en organisatorische maatregelen implementeren, zoals pseudonimisering, die zijn ontworpen om de beginselen van gegevensbescherming, zoals gegevensminimalisatie, op een effectieve manier te implementeren manier en om de nodige waarborgen in de verwerking te integreren om aan de vereisten van deze verordening te voldoen en de rechten van de betrokkenen te beschermen.
- De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de omvang van de verwerking ervan, de periode van opslag en de toegankelijkheid ervan. Dergelijke maatregelen moeten er met name voor zorgen dat persoonsgegevens standaard niet zonder tussenkomst van het individu toegankelijk worden gemaakt voor een onbepaald aantal natuurlijke personen.
- Een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42 kan worden gebruikt als element om de naleving van de eisen van de leden 1 en 2 van dit artikel aan te tonen.
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Wanneer een organisatie een gegevensverwerkingsoperatie wil opzetten die voldoet aan de gegevensbescherming ‘by design’ en ‘by default’, zijn er verschillende belangrijke factoren waarmee rekening moet worden gehouden:
Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.
De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.
Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.
Dit bevat:
Organisaties moeten geheimhoudingsovereenkomsten (NDA's) en vertrouwelijkheidsovereenkomsten gebruiken om de opzettelijke of onbedoelde openbaarmaking van gevoelige informatie aan onbevoegd personeel te beschermen.
Bij het opstellen, implementeren en onderhouden van dergelijke overeenkomsten moeten organisaties:
Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van geheimhoudingsverklaringen en vertrouwelijkheidsovereenkomsten (zie ISO 27002 Controles 5.31, 5.32, 5.33 en 5.34).
Organisaties moeten ervoor zorgen dat de ontwikkelingslevenscyclus wordt gecreëerd met privacybescherming in gedachten.
Om dit te bereiken moeten organisaties:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Organisatiesystemen moeten worden ontworpen, gedocumenteerd, geïmplementeerd en onderhouden met privacybescherming in gedachten:
Technische principes moeten het volgende analyseren:
Bij technische principes moet rekening worden gehouden met:
Veilige systeemtechniek moet het volgende omvatten:
Organisaties moeten standaard kiezen voor een 'zero trust'-benadering van beveiliging.
Wanneer de organisatie de ontwikkeling uitbesteedt aan externe organisaties, moeten er inspanningen worden gedaan om ervoor te zorgen dat de beveiligingsprincipes van de partner in lijn zijn met die van de organisatie.
Organisaties mogen PII ook alleen verwerken als dit relevant, proportioneel en noodzakelijk is om een bepaald doel te bereiken, waaronder:
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikel 25 (3) | ISO 27701 5.2.1 | Geen |
EU AVG Artikel 25 (1)(f) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU AVG Artikel 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU AVG Artikel 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU AVG Artikel 25 (2) | ISO 27701 7.4.2 | Geen |
Wij bieden u een kant-en-klare omgeving waarin u kunt beschrijven en demonstreren hoe u de gegevens van uw Europese en Britse klanten beschermt.
Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd.
U profiteert ook van een reeks krachtige tijdbesparende functies.
Meer informatie via het boeken van een korte demo van 30 minuten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo