Hoe u naleving van AVG kunt aantonen Artikel 28

Britse AVG-versie

Gegevensverwerker

1. Wanneer de verwerking namens een verwerkingsverantwoordelijke moet worden uitgevoerd, maakt de verwerkingsverantwoordelijke alleen gebruik van verwerkers die voldoende garanties bieden om passende technische en organisatorische maatregelen te implementeren op een zodanige manier dat de verwerking voldoet aan de eisen van deze verordening en de bescherming van de rechten van de verwerkingsverantwoordelijke garandeert. de betrokkene.
2. De verwerker zal geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In geval van algemene schriftelijke toestemming zal de verwerker de verantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere verwerkers, waarbij hij de verantwoordelijke de mogelijkheid geeft om tegen dergelijke wijzigingen bezwaar te maken.
3. De verwerking door een verwerker wordt beheerst door een contract of andere rechtshandeling naar nationaal recht, die bindend is voor de verwerker ten aanzien van de verwerkingsverantwoordelijke en die het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking vastlegt. , het type persoonsgegevens en categorieën betrokkenen en de verplichtingen en rechten van de verwerkingsverantwoordelijke. In dat contract of andere rechtshandeling wordt met name bepaald dat de verwerker:
• (a) Verwerkt de persoonsgegevens alleen op gedocumenteerde instructies van de verwerkingsverantwoordelijke, inclusief met betrekking tot de overdracht van persoonsgegevens naar een derde land of een internationale organisatie, tenzij dit vereist is door de nationale wetgeving waaraan de verwerker onderworpen is; in een dergelijk geval zal de verwerker de verwerkingsverantwoordelijke vóór de verwerking op de hoogte stellen van die wettelijke vereiste, tenzij die wet dergelijke informatie verbiedt om belangrijke redenen van openbaar belang.
• (b) Zorgt ervoor dat personen die bevoegd zijn om de persoonsgegevens te verwerken, zich tot vertrouwelijkheid hebben verplicht of onder een passende wettelijke geheimhoudingsplicht vallen.
• c) Neemt alle maatregelen die vereist zijn op grond van artikel 32.
• (d) Respecteert de voorwaarden genoemd in lid 2 en 4 voor het inschakelen van een andere verwerker.
• (e) Rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke bijstaan ​​door middel van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor het voldoen aan de verplichting van de verwerkingsverantwoordelijke om te reageren op verzoeken om de uitoefening van de rechten van de betrokkene zoals vastgelegd in Hoofdstuk III .
• (f) Helpt de verwerkingsverantwoordelijke bij het waarborgen van de naleving van de verplichtingen uit hoofde van de artikelen 32 tot en met 36, rekening houdend met de aard van de verwerking en de informatie waarover de verwerker beschikt.
• (g) Naar keuze van de verwerkingsverantwoordelijke alle persoonsgegevens verwijderen of terugsturen naar de verwerkingsverantwoordelijke na het einde van de dienstverlening met betrekking tot de verwerking, en bestaande kopieën verwijderen, tenzij de nationale wetgeving opslag van de persoonsgegevens vereist.
• (h) Stelt aan de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de in dit artikel vastgelegde verplichtingen aan te tonen en om audits, inclusief inspecties, mogelijk te maken en bij te dragen, uitgevoerd door de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde auditor.
   
  Met betrekking tot punt h) van de eerste alinea stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk op de hoogte indien, naar zijn mening, een instructie een inbreuk vormt op deze verordening of op ander nationaal recht met betrekking tot verplichtingen op het gebied van gegevensbescherming.
4. Wanneer een verwerker een andere verwerker inschakelt om namens de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren, worden aan die verwerkingsverantwoordelijke dezelfde gegevensbeschermingsverplichtingen opgelegd als vastgelegd in het contract of een andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker als bedoeld in lid 3. andere verwerker door middel van een contract of een andere rechtshandeling naar nationaal recht, waarbij met name voldoende garanties worden geboden om passende technische en organisatorische maatregelen te treffen op zodanige wijze dat de verwerking aan de vereisten van deze verordening voldoet. Wanneer die andere verwerker zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft de oorspronkelijke verwerker volledig aansprakelijk jegens de verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van die andere verwerker.
5. Het volgen door een verwerker van een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element waarmee voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel kunnen worden aangetoond. .
6. Onverminderd een individueel contract tussen de verwerkingsverantwoordelijke en de verwerker, kan het contract of de andere rechtshandeling bedoeld in de leden 3 en 4 van dit artikel geheel of gedeeltelijk gebaseerd zijn op modelcontractbepalingen bedoeld in lid 8 van dit artikel. dit artikel, ook wanneer zij deel uitmaken van een certificering die overeenkomstig de artikelen 42 en 43 aan de verwerkingsverantwoordelijke of verwerker is verleend.
7. De commissaris kan modelcontractbepalingen aannemen voor de aangelegenheden bedoeld in de leden 3 en 4 van dit artikel.
8. De overeenkomst of de andere rechtshandeling bedoeld in lid 3 en 4 moet schriftelijk zijn, ook in elektronische vorm.
9. Onverminderd de artikelen 82, 83 en 84 wordt, indien een verwerker deze verordening schendt door het doel van en de middelen voor de verwerking vast te stellen, de verwerker met betrekking tot die verwerking als verwerkingsverantwoordelijke beschouwd.

Technisch commentaar

Artikel 28 van de AVG behandelt 8 deelgebieden die bepalen hoe gegevensverwerkingsactiviteiten kunnen worden uitbesteed aan externe dienstverleners:

1. De minimale vereisten die nodig zijn om een ​​dienstverlener te kunnen gebruiken.
2. Verdere betrokkenheid van andere verwerkers, zodra de dienstverlener is ingeschakeld.
3. De behoefte aan een juridisch bindend, schriftelijk contract.
4. Subverwerking (onderaanneming).
5. Gedragscodes.
6. Contractuele clausules.
7. Vormvereisten.
8. Juridische gevolgen na contractbreuk.

ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 28

In deze sectie praten we over AVG-artikelen 28 (10), 28 (5) en 28 (6)

Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.

De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.

Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.

Dit bevat:

1. Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’.
2. Rekening houdend met de unieke eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures.
3. Eventuele administratieve factoren, inclusief de dagelijkse leiding van het bedrijf.
4. Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.

ISO 27701 Clausule 6.12.1.2 (Aanpak van beveiliging binnen leveranciersovereenkomsten) en EU AVG Artikel 28

In deze sectie praten we over AVG Artikelen 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3 )(e), (3)(f), (3)(g) en (3)(h)

Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.

Daarbij moeten organisaties:

• Zorg voor een duidelijke beschrijving met details over de privacy-informatie waartoe toegang moet worden verkregen, en hoe toegang tot die informatie zal worden verkregen.
• Classificeer de privacy-informatie waartoe toegang moet worden verkregen in overeenstemming met een geaccepteerd classificatieschema (zie ISO 27002 Controles 5.10, 5.12 en 5.13).
• Schenk voldoende aandacht aan het eigen classificatieschema van de leverancier.
• Categoriseer rechten in vier hoofdgebieden – juridisch, statutair, regelgevend en contractueel – met een gedetailleerde beschrijving van de verplichtingen per gebied.
• Zorg ervoor dat elke partij verplicht is een reeks controles uit te voeren die de risiconiveaus voor de beveiliging van privacy-informatie monitoren, beoordelen en beheren.
• Geef een overzicht van de noodzaak dat leverancierspersoneel zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie ISO 27002 Controle 5.20).
• Zorg voor een duidelijk begrip van wat zowel aanvaardbaar als onaanvaardbaar gebruik van privacy-informatie en fysieke en virtuele activa van beide partijen inhoudt.
• Voer autorisatiecontroles in die nodig zijn voor personeel aan de leverancierszijde om toegang te krijgen tot de privacygegevens van een organisatie of deze te bekijken.
• Denk na over wat er gebeurt in het geval van contractbreuk of het niet naleven van individuele bepalingen.
• Beschrijf een incidentbeheerprocedure, inclusief hoe grote gebeurtenissen worden gecommuniceerd.
• Zorg ervoor dat het personeel een veiligheidsbewustzijnstraining krijgt.
• (Als het de leverancier is toegestaan ​​om onderaannemers in te schakelen) voeg dan eisen toe om ervoor te zorgen dat onderaannemers zich houden aan dezelfde reeks privacy-informatiebeveiligingsnormen als de leverancier.
• Denk na over de manier waarop personeel van leveranciers wordt gescreend voordat zij met privacy-informatie omgaan.
• Bepaal de behoefte aan attesten van derden die aantonen dat de leverancier in staat is te voldoen aan de vereisten voor de beveiliging van organisatorische privacy-informatie.
• Het contractuele recht hebben om de procedures van een leverancier te controleren.
• Van leveranciers eisen dat zij rapporten overleggen waarin de effectiviteit van hun eigen processen en procedures gedetailleerd wordt beschreven.
• Focus op het nemen van stappen om de tijdige en grondige oplossing van eventuele defecten of conflicten te beïnvloeden.
• Zorg ervoor dat leveranciers werken met een adequaat BUDR-beleid, om de integriteit en beschikbaarheid van PII en privacygerelateerde activa te beschermen.
• Een veranderingsmanagementbeleid aan de leverancierszijde vereisen dat de organisatie informeert over eventuele wijzigingen die mogelijk van invloed zijn op de privacybescherming.
• Implementeer fysieke beveiligingsmaatregelen die evenredig zijn aan de gevoeligheid van de gegevens die worden opgeslagen en verwerkt.
• (Wanneer gegevens moeten worden overgedragen) vraag leveranciers om ervoor te zorgen dat gegevens en bedrijfsmiddelen worden beschermd tegen verlies, schade of corruptie.
• Maak een lijst van de acties die beide partijen moeten ondernemen in geval van beëindiging.
• Vraag de leverancier om aan te geven hoe hij van plan is de privacy-informatie na beëindiging te vernietigen, of dat de gegevens niet langer nodig zijn.
• Neem maatregelen om een ​​minimale bedrijfsonderbreking tijdens een overdrachtsperiode te garanderen.

Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Clausule 6.15.1.1 (Identificatie van toepasselijke wetgeving en contractuele vereisten) en EU AVG Artikel 28

In deze sectie praten we over AVG Artikelen 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3 )(f), (3)(g) en (3)(h)

Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:

1. Opstellen en/of aanpassen van privacy-informatiebeveiligingsprocedures.
2. Het categoriseren van informatie.
3. Beginnen met risicobeoordelingen met betrekking tot activiteiten op het gebied van privacy-informatiebeveiliging.
4. Het aangaan van leveranciersrelaties, inclusief eventuele contractuele verplichtingen in de hele toeleveringsketen.

Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.

Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.

Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:

• Houd u aan alle wetten die van toepassing zijn op de import en export van hardware of software die mogelijk een cryptografische functie kan vervullen.
• Toegang bieden tot gecodeerde informatie volgens de wetten van het rechtsgebied waarin zij actief zijn.
• Gebruik drie belangrijke elementen van encryptie:
1. Digitale handtekeningen.
2. Zeehonden.
3. Digitale certificaten.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.20

ISO 27701 Clausule 7.2.6 (Contracten met PII-verwerkers) en EU AVG Artikelen 28(3)(e) en 28(9)

Organisaties moeten de details van elke gezamenlijke PII-verwerkingsregeling schetsen, met een bijbehorende PII-beheerder – dit omvat algemene beschermingsmaatregelen en alle bijbehorende beveiligingsvereisten.

Rollen en verantwoordelijkheden moeten duidelijk en ondubbelzinnig zijn, en vastgelegd in een juridisch bindend document (ook wel een 'overeenkomst voor het delen van gegevens' genoemd).

Afspraken kunnen onder meer het volgende omvatten:

• Waarom PII wordt gedeeld.
• Gegevenscategorieën.
• Een algemeen overzicht van de PII-verwerking.
• Alle relevante rollen en verantwoordelijkheden.
• Hoe de beveiliging van privacy-informatie moet worden geregeld.
• Welke acties moeten worden ondernomen bij een datalek?
• Hoe PII moet worden bewaard en vernietigd wanneer deze niet langer nodig is.
• Wat gebeurt er als een van beide partijen de overeenkomst schendt?
• Wat de verplichtingen van beide partijen zijn jegens PII-opdrachtgevers.
• Welke mechanismen zijn er om PII-opdrachtgevers te voorzien van toepasselijke details van de gezamenlijke overeenkomst?
• Hoe PII-opdrachtgevers officiële verzoeken kunnen indienen en hoe ze een antwoord kunnen formuleren en afleveren.
• Contactpunten – zowel intern als voor PII-opdrachtgevers om te gebruiken.

ISO 27701 Clausule 8.2.1 (Klantovereenkomst) en EU AVG Artikel 28

In deze sectie praten we over AVG-artikelen 28 (3)(e) en 28 (3)(f) en 28 (9)

Klantcontracten moeten het volgende omvatten:

• Het concept van 'privacy by design' (zie ISO 27701 clausules 7.4 en 8.4).
• Hoe de organisatie de veiligheid van de verwerking wil bereiken.
• Hoe inbreuken moeten worden gerapporteerd, inclusief klanten, opdrachtgevers en regelgevende instanties.
• Hoe Privacy-effectbeoordelingen zijn te behandelen.
• Bevestiging van het voornemen van de organisatie om hulp te bieden aan de PII-beschermingsautoriteiten.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 Clausule 8.2.2 (Doelen van de organisatie) en EU AVG Artikel 28 (3)(a)

Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.

Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.

ISO 27701 Clausule 8.2.4 (Inbreukmakende instructies) en EU AVG Artikel 28 (3)(h)

Organisaties moeten een grondig inzicht hebben in de manier waarop instructies mogelijk in strijd kunnen zijn met toepasselijke wetgeving of wettelijke verplichtingen.

Overtredingen vinden meestal plaats rond drie factoren.

1. Hoe technologie wordt gebruikt.
2. Het uitgangspunt van de instructie.
3. Eventuele contractuele verplichtingen.

ISO 27701 Clausule 8.2.5 (Verplichtingen van de Klant) en EU AVG Artikel 28 (3)(h)

Organisaties moeten hun klanten van voldoende informatie kunnen voorzien, zodat klanten op ieder moment aan hun verplichtingen kunnen voldoen.

De vereiste informatie kan een breed scala aan functies omvatten, maar houdt doorgaans verband met interne audits en de rol van de organisatie bij het faciliteren daarvan door het verstrekken van informatie.

ISO 27701 Clausule 8.3.1 (Verplichtingen voor PII-opdrachtgevers) en EU AVG Artikel 28 (3)(h)

De verplichtingen van verwerkingsverantwoordelijken worden bepaald door drie factoren:

1. Wetgeving.
2. Regulatie.
3. Contracten.

Contracten moeten eventuele informatie or technische operaties die de organisatie in staat stellen haar verplichtingen als verwerkingsverantwoordelijke na te komen.

ISO 27701 Clausule 8.4.2 (Teruggave, overdracht of verwijdering van PII) en EU AVG Artikel 28 (3)(g)

Er zijn verschillende scenario's waarbij PII moet worden verwijderd, waaronder (maar niet beperkt tot):

• Eventuele PII terugsturen naar de klant.
• Het verstrekken van de PII aan een andere organisatie.
• Het vernietigen van informatie.
• De-identificatie.
• Archiveren.

Organisaties moeten categorische garanties bieden dat alle PII die niet langer nodig is, zal worden vernietigd in overeenstemming met de geldende wetgeving of regionale richtlijnen.

Alle verwijderingsbeleidsregels moeten op verzoek beschikbaar zijn voor de klant en moeten betrekking hebben op de periode die organisaties hebben om PII te vernietigen zodra een contract is beëindigd.

ISO 27701 clausule 8.5.4 (kennisgeving van verzoeken om openbaarmaking van PII) en EU AVG artikel 28, lid 3, onder a)

Organisaties moeten een procedure opstellen die regelt hoe PII-opdrachtgevers op de hoogte worden gesteld van juridisch bindende verzoeken van derden om hun informatie, inclusief een redelijk tijdsbestek en een contractuele bepaling die het hele proces schetst.

Bovenal moeten organisaties dat doen voldoen aan de verzoeken van wetshandhavingsinstanties, die het recht hebben om te verzoeken dat de klant niet op de hoogte wordt gesteld van een verzoek, en ervoor te zorgen dat ze geen wetten overtreden door de klant per ongeluk of opzettelijk op de hoogte te stellen van de situatie.

ISO 27701 Clausule 8.5.6 (Openbaarmaking van onderaannemers die worden gebruikt om PII te verwerken) en EU AVG Artikelen 28 (2) en (28)(4)

Alle bepalingen voor het gebruik van onderaannemers moeten als zodanig worden vermeld in het SLA/klantcontract.

Informatie over onderaannemers moet het volgende omvatten:

• De naam van de onderaannemer.
• Alle landen waarnaar de onderaannemer gegevens kan overdragen (zie ISO 27701 clausule 8.5.2), zodat de klant eventuele PII-opdrachtgevers kan informeren.
• Hoe wordt verwacht dat de onderaannemer aan de behoeften van de organisatie voldoet (zie ISO 27701 paragraaf 8.5.7).

NDA's moeten worden opgesteld om alle informatie openbaar te maken die een verhoogd veiligheidsrisico zou vormen als deze publiekelijk zou worden onthuld.

Ondersteunende ISO 27701-clausules

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 Clausule 8.5.7 (Inschakeling van een onderaannemer om PII te verwerken) en EU AVG Artikelen 28 (2) en 28 (3)(d)

Organisaties moeten schriftelijke toestemming van hun klanten verkrijgen voordat PII door een externe organisatie wordt verwerkt.

Onderaannemers moeten onderworpen zijn aan een bindende overeenkomst (meestal in de vorm van een schriftelijk contract), die ervoor zorgt dat onderaannemers hun verplichtingen begrijpen met betrekking tot het implementeren van de controles vermeld in ISO 27701 bijlage B.

Contracten moeten rekening houden met verschillende risicobeoordelingsprocessen (zie ISO 27701 clausule 5.4.1.2) en de volledige reikwijdte van de PII-verwerking van de organisatie (zie ISO 27701 clausule 6.12). Net als hierboven moeten alle in bijlage B genoemde controles worden nageleefd, waarbij eventuele weglatingen worden vermeld, samen met de rechtvaardigingen daarvoor.

Ondersteunende ISO 27701-clausules

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 Clausule 8.4 (Wijziging van onderaannemer in proces-PII) en EU AVG Artikel 28 (2) van de AVG

Wanneer de noodzaak zich voordoet om de manier te veranderen waarop de organisatie enig onderdeel van de PII-verwerking uitbesteedt, moeten klanten ruim van tevoren op de hoogte worden gesteld van de wijzigingen, zodat ze de tijd hebben om de wijzigingen in twijfel te trekken of er bezwaar tegen te maken.

Contracten moeten clausules bevatten die voorzien in schriftelijke toestemming van de klant om door te gaan met de wijziging, voordat PII wordt verwerkt.

Organisaties kunnen ook goedkeuring vragen voor wijzigingen binnen ad-hoc schriftelijke overeenkomsten, buiten eventuele contractuele voorwaarden om.

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

Hoe ISMS.online helpt

Gebouwd volgens ISO 27701, in lijn met andere regelgeving.

Met ISO 27701 kunt u een Privacy Informatie Management Systeem creëren dat voldoet aan de meeste privacyregelgeving. Dit geldt ook voor de EU Algemene Verordening Gegevensbescherming, BS 10012 en POPIA uit Zuid-Afrika.

U kunt de internationale standaard eenvoudig volgen met onze vereenvoudigde, veilige en duurzame software.

Het alles-in-één platform dat wij bieden, zorgt ervoor dat uw privacywerk in lijn is met ISO 27701 en voldoet aan de vereisten ervan.

Meer informatie via het boeken van een korte demo van 30 minuten.