Hoe u naleving van AVG kunt aantonen Artikel 25

Gegevensbescherming door ontwerp en door standaard

Boek een demo

jong,vrouw,ondernemer,freelancer,werkend,met een,laptop,in,coworking

GDPR Artikel 25 gaat over gegevensbescherming door ontwerp en door standaardinstellingen.

Dit concept zorgt ervoor dat de gegevensbeheerder in elke fase van zijn of haar activiteiten rekening houdt met de privacy van een betrokkene, en gegevensverwerkingsactiviteiten ontwerpt die de AVG centraal stellen in een reeks doelstellingen.

Om dit te bereiken moeten organisaties eerst een duidelijke reeks privacydoelstellingen definiëren, voordat ze de engineering en daaropvolgende implementatie van een gegevensverwerkingsoperatie (of, bij proxy, een product) ondernemen.

AVG Artikel 25 Wettelijke tekst

EU AVG-versie

Gegevensbescherming door ontwerp en standaard

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen die uit de verwerking voortvloeien, zal de verwerkingsverantwoordelijke: zowel op het moment dat de middelen voor de verwerking worden bepaald als op het moment van de verwerking zelf passende technische en organisatorische maatregelen implementeren, zoals pseudonimisering, die zijn ontworpen om de beginselen van gegevensbescherming, zoals gegevensminimalisatie, op een effectieve manier te implementeren manier en om de nodige waarborgen in de verwerking te integreren om aan de vereisten van deze verordening te voldoen en de rechten van de betrokkenen te beschermen.

  2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de omvang van de verwerking ervan, de periode van opslag en de toegankelijkheid ervan. Dergelijke maatregelen moeten er met name voor zorgen dat persoonsgegevens standaard niet zonder tussenkomst van het individu toegankelijk worden gemaakt voor een onbepaald aantal natuurlijke personen.

  3. Een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42 kan worden gebruikt als element om de naleving van de eisen van de leden 1 en 2 van dit artikel aan te tonen.

Britse AVG-versie

Gegevensbescherming door ontwerp en standaard

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen die uit de verwerking voortvloeien, zal de verwerkingsverantwoordelijke: zowel op het moment dat de middelen voor de verwerking worden bepaald als op het moment van de verwerking zelf passende technische en organisatorische maatregelen implementeren, zoals pseudonimisering, die zijn ontworpen om de beginselen van gegevensbescherming, zoals gegevensminimalisatie, op een effectieve manier te implementeren manier en om de nodige waarborgen in de verwerking te integreren om aan de vereisten van deze verordening te voldoen en de rechten van de betrokkenen te beschermen.

  2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de omvang van de verwerking ervan, de periode van opslag en de toegankelijkheid ervan. Dergelijke maatregelen moeten er met name voor zorgen dat persoonsgegevens standaard niet zonder tussenkomst van het individu toegankelijk worden gemaakt voor een onbepaald aantal natuurlijke personen.

  3. Een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42 kan worden gebruikt als element om de naleving van de eisen van de leden 1 en 2 van dit artikel aan te tonen.

Ga naar onderwerp
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Mark Wightman
Chief Technical Officer Aluma
100% van onze gebruikers slaagt in de eerste keer voor de certificering
Boek uw demo

Technisch commentaar

Wanneer een organisatie een gegevensverwerkingsoperatie wil opzetten die voldoet aan de gegevensbescherming ‘by design’ en ‘by default’, zijn er verschillende belangrijke factoren waarmee rekening moet worden gehouden:

  • Technische ontwikkelingen.

  • Implementatiekosten.

  • De aard van de operatie (context en doel).

  • Risico's en de vrijheden van het individu.

  • Reikwijdte (dat wil zeggen waar gegevens moeten worden verzameld).

  • Gegevensminimalisatie.

  • Het concept van 'passende' maatregelen.

ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 25 (3)

Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.

De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.

Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.

Dit bevat:

  • Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’.

  • Rekening houdend met de unieke eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures.

  • Eventuele administratieve factoren, inclusief de dagelijkse leiding van het bedrijf.

  • Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.

ISO 27701 Clausule 6.10.2.4 (Vertrouwelijkheids- of geheimhoudingsovereenkomsten) en EU AVG Artikel 25 (1)(f)

Organisaties moeten geheimhoudingsovereenkomsten (NDA's) en vertrouwelijkheidsovereenkomsten gebruiken om de opzettelijke of onbedoelde openbaarmaking van gevoelige informatie aan onbevoegd personeel te beschermen.

Bij het opstellen, implementeren en onderhouden van dergelijke overeenkomsten moeten organisaties:

  • Geef een definitie voor de informatie die moet worden beschermd.

  • Geef duidelijk aan wat de verwachte duur van de overeenkomst is.

  • Geef duidelijk aan welke acties nodig zijn zodra een overeenkomst is beëindigd.

  • Alle verantwoordelijkheden die zijn overeengekomen door bevestigde ondertekenaars.

  • Eigendom van informatie (inclusief IP en bedrijfsgeheimen).

  • Hoe ondertekenaars de informatie mogen gebruiken.

  • Geef een duidelijke omschrijving van het recht van de organisatie om vertrouwelijke informatie te controleren.

  • Eventuele gevolgen die voortvloeien uit niet-naleving.

  • Evalueert regelmatig hun vertrouwelijkheidsbehoeften en past eventuele toekomstige overeenkomsten dienovereenkomstig aan.

Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van geheimhoudingsverklaringen en vertrouwelijkheidsovereenkomsten (zie ISO 27002 Controles 5.31, 5.32, 5.33 en 5.34).

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 Clausule 6.11.2.1 (Beleid voor veilige ontwikkeling) en EU AVG Artikel 25 (1)

Organisaties moeten ervoor zorgen dat de ontwikkelingslevenscyclus wordt gecreëerd met privacybescherming in gedachten.

Om dit te bereiken moeten organisaties:

  1. Werken met aparte ontwikkel-, test- en ontwikkelomgevingen (zie ISO 27002 Controle 8.31).

  2. Publiceer richtlijnen over privacybescherming gedurende de gehele ontwikkelingslevenscyclus, inclusief methodologieën, coderingsrichtlijnen en programmeertalen (zie ISO 27002 Controls 8.28, 8.27 en 5.8).

  3. Schets beveiligingseisen in de specificatie- en ontwerpfase (zie ISO 27002 Controle 5.8).

  4. Implementeer veiligheidscontrolepunten in alle relevante projecten (zie ISO 27002 Controle 5.8).

  5. Voer systeem- en beveiligingstests uit, inclusief codescans en penetratietests (zie ISO 27002 Controle 5.8).

  6. Bied veilige opslagplaatsen aan voor alle broncode (zie ISO 27002 Controls 8.4 en 8.9).

  7. Voer strenge versiecontroleprocedures uit (zie ISO 27002 Controle 8.32).

  8. Bied medewerkers privacybescherming en applicatiebeveiligingstraining aan (zie ISO 27002 Controle 8.28).

  9. Analyseer het vermogen van een ontwikkelaar om kwetsbaarheden te lokaliseren, te beperken en uit te roeien (zie ISO 27002 Controle 8.28).

  10. Documenteer eventuele bestaande of toekomstige licentievereisten (zie ISO 27002 Controle 8.30).

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Wij zijn kosteneffectief en snel

Ontdek hoe dat uw ROI zal verhogen
Vraag uw offerte aan

ISO 27701 Clausule 6.11.2.5 (Veilige ontwikkelingsomgeving) en EU AVG Artikel 25 (1)

Organisatiesystemen moeten worden ontworpen, gedocumenteerd, geïmplementeerd en onderhouden met privacybescherming in gedachten:

Technische principes moeten het volgende analyseren:

  • Een breed scala aan beveiligingscontroles die nodig zijn om PII te beschermen tegen specifieke en algemene bedreigingen.

  • Hoe goed uitgeruste beveiligingscontroles zijn om met grote beveiligingsgebeurtenissen om te gaan.

  • Gerichte controles die onderscheidend zijn voor individuele bedrijfsprocessen.

  • Waar op het netwerk en hoe veiligheidscontroles moeten worden geïmplementeerd.

  • Hoe verschillende bedieningselementen in harmonie met elkaar werken.

Bij technische principes moet rekening worden gehouden met:

  1. Architecturale integratie.

  2. Technische beveiligingsmaatregelen (encryptie, IAM, DAM etc.)

  3. Hoe goed is de organisatie toegerust om de gekozen oplossing te implementeren en te onderhouden.

  4. Richtlijnen voor beste praktijken in de sector.

Veilige systeemtechniek moet het volgende omvatten:

  • Beproefde architecturale principes volgens de industriestandaard.

  • Een uitgebreide ontwerpbeoordeling die kwetsbaarheden aan het licht brengt en helpt bij het vormen van een end-to-end-aanpak voor naleving.

  • Volledige openbaarmaking van eventuele beveiligingscontroles die niet aan de verwachte eisen voldoen.

  • Systeemverharding.

Organisaties moeten standaard kiezen voor een 'zero trust'-benadering van beveiliging.

Wanneer de organisatie de ontwikkeling uitbesteedt aan externe organisaties, moeten er inspanningen worden gedaan om ervoor te zorgen dat de beveiligingsprincipes van de partner in lijn zijn met die van de organisatie.

Ondersteuning van ISO 27002-controles

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 clausule 7.4.2 (Beperking van de verwerking) en EU AVG artikel 25 (2)

Organisaties mogen PII ook alleen verwerken als dit relevant, proportioneel en noodzakelijk is om een ​​bepaald doel te bereiken, waaronder:

  1. Disclosure.

  2. Storage.

  3. Toegankelijkheid.

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

AVG-artikelISO 27701-clausuleISO 27002-controles
EU AVG Artikel 25 (3)ISO 27701 5.2.1Geen
EU AVG Artikel 25 (1)(f)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU AVG Artikel 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU AVG Artikel 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU AVG Artikel 25 (2)ISO 27701 7.4.2Geen

Hoe ISMS.online helpt

Wij bieden u een kant-en-klare omgeving waarin u kunt beschrijven en demonstreren hoe u de gegevens van uw Europese en Britse klanten beschermt.

Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd.

U profiteert ook van een reeks krachtige tijdbesparende functies.

  • ROPA gemakkelijk gemaakt
  • Beoordelingssjablonen
  • Een beveiligde ruimte voor DRR (Data Subject Rights Requests)
  • Beheer van inbreuken

Meer informatie via het boeken van een korte demo van 30 minuten.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie