Hoe u naleving van AVG kunt aantonen Artikel 30

Britse AVG-versie

Registratie van verwerkingsactiviteiten

1. Elke verwerkingsverantwoordelijke en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke, houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat dossier bevat alle volgende informatie:
• De naam en contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming.
• De doeleinden van de verwerking.
• Een beschrijving van de categorieën betrokkenen en van de categorieën persoonsgegevens.
• De categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, inclusief ontvangers in derde landen of internationale organisaties.
• Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
• Waar mogelijk, de beoogde termijnen voor het wissen van de verschillende categorieën gegevens.
• Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, bedoeld in artikel 32, eerste lid, of, in voorkomend geval, de beveiligingsmaatregelen, bedoeld in artikel 1, derde lid, van de Wet 28.
2. Elke verwerker en, indien van toepassing, de vertegenwoordiger van de verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die namens een verwerkingsverantwoordelijke worden uitgevoerd, met daarin:
• De naam en contactgegevens van de verwerker(s) en van elke verwerkingsverantwoordelijke namens wie de verwerker handelt, en, indien van toepassing, van de verwerkingsverantwoordelijke of de vertegenwoordiger van de verwerker, en de functionaris voor gegevensbescherming.
• De categorieën van verwerkingen die namens elke verwerkingsverantwoordelijke worden uitgevoerd.
• Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
• Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, eerste lid. Of, in voorkomend geval, de veiligheidsmaatregelen bedoeld in artikel 1, lid 28, van de wet van 3.
3. De in de leden 1 en 2 bedoelde vastleggingen zijn schriftelijk, ook in elektronische vorm.
4. De verwerkingsverantwoordelijke of de verwerker en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker, stellen het dossier op verzoek ter beschikking van de commissaris.
5. De verplichtingen bedoeld in de leden 1 en 2 zijn niet van toepassing op een onderneming of organisatie met minder dan 250 personen, tenzij de verwerking die zij uitvoert waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen en de verwerking niet incidenteel is , of de verwerking omvat bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Technisch commentaar

AVG-artikel 30 behandelt vier belangrijke gebieden van het bijhouden van documenten:

1. Registratie van verwerkingsactiviteiten door de verwerkingsverantwoordelijke.
2. Registratie van verwerkingsactiviteiten door de verwerker.
3. Schriftelijke recordformaten.
4. De bevoegdheden van toezichthoudende autoriteiten.

Artikel 30 schetst ook uitzonderingen die op elk van de bovengenoemde gebieden worden toegepast – met name daarop elke organisatie met minder dan 250 medewerkers is niet verplicht om verwerkingsgegevens bij te houden, behalve wanneer de rechten en vrijheden van betrokkenen ‘niet incidenteel’ zijn, of de organisatie ‘bijzondere categorieën’ gegevens of strafrechtelijke gegevens verwerkt.

ISO 27701 Clausule 6.12.1.2 (Aanpak van beveiliging binnen leveranciersovereenkomsten) en EU AVG Artikel 30 (2)(d)

Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.

Daarbij moeten organisaties:

• Zorg voor een duidelijke beschrijving met details over de privacy-informatie waartoe toegang moet worden verkregen, en hoe toegang tot die informatie zal worden verkregen.
• Classificeer de privacy-informatie waartoe toegang moet worden verkregen in overeenstemming met een geaccepteerd classificatieschema (zie ISO 27002 Controles 5.10, 5.12 en 5.13).
• Schenk voldoende aandacht aan het eigen classificatieschema van de leverancier.
• Categoriseer rechten in vier hoofdgebieden – juridisch, statutair, regelgevend en contractueel – met een gedetailleerde beschrijving van de verplichtingen per gebied.
• Zorg ervoor dat elke partij verplicht is een reeks controles uit te voeren die de risiconiveaus voor de beveiliging van privacy-informatie monitoren, beoordelen en beheren.
• Geef een overzicht van de noodzaak dat leverancierspersoneel zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie ISO 27002 Controle 5.20).
• Zorg voor een duidelijk begrip van wat zowel aanvaardbaar als onaanvaardbaar gebruik van privacy-informatie en fysieke en virtuele activa van beide partijen inhoudt.
• Voer autorisatiecontroles in die nodig zijn voor personeel aan de leverancierszijde om toegang te krijgen tot de privacygegevens van een organisatie of deze te bekijken.
• Denk na over wat er gebeurt in het geval van contractbreuk of het niet naleven van individuele bepalingen.
• Beschrijf een incidentbeheerprocedure, inclusief hoe grote gebeurtenissen worden gecommuniceerd.
• Zorg ervoor dat het personeel een veiligheidsbewustzijnstraining krijgt.
• (Als het de leverancier is toegestaan ​​om onderaannemers in te schakelen) voeg dan eisen toe om ervoor te zorgen dat onderaannemers zich houden aan dezelfde reeks privacy-informatiebeveiligingsnormen als de leverancier.
• Denk na over de manier waarop personeel van leveranciers wordt gescreend voordat zij met privacy-informatie omgaan.
• Bepaal de behoefte aan attesten van derden die aantonen dat de leverancier in staat is te voldoen aan de vereisten voor de beveiliging van organisatorische privacy-informatie.
• Het contractuele recht hebben om de procedures van een leverancier te controleren.
• Van leveranciers eisen dat zij rapporten overleggen waarin de effectiviteit van hun eigen processen en procedures gedetailleerd wordt beschreven.
• Focus op het nemen van stappen om de tijdige en grondige oplossing van eventuele defecten of conflicten te beïnvloeden.
• Zorg ervoor dat leveranciers werken met een adequaat BUDR-beleid, om de integriteit en beschikbaarheid van PII en privacygerelateerde activa te beschermen.
• Een veranderingsmanagementbeleid aan de leverancierszijde vereisen dat de organisatie informeert over eventuele wijzigingen die mogelijk van invloed zijn op de privacybescherming.
• Implementeer fysieke beveiligingsmaatregelen die evenredig zijn aan de gevoeligheid van de gegevens die worden opgeslagen en verwerkt.
• (Wanneer gegevens moeten worden overgedragen) vraag leveranciers om ervoor te zorgen dat gegevens en bedrijfsmiddelen worden beschermd tegen verlies, schade of corruptie.
• Maak een lijst van de acties die beide partijen moeten ondernemen in geval van beëindiging.
• Vraag de leverancier om aan te geven hoe hij van plan is de privacy-informatie na beëindiging te vernietigen, of dat de gegevens niet langer nodig zijn.
• Neem maatregelen om een ​​minimale bedrijfsonderbreking tijdens een overdrachtsperiode te garanderen.

Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Clausule 6.15.1.1 (Identificatie van toepasselijke wetgeving en contractuele vereisten) en EU AVG Artikel 30 (2)(d)

Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:

• Opstellen en/of aanpassen van privacy-informatiebeveiligingsprocedures.
• Het categoriseren van informatie.
• Beginnen met risicobeoordelingen met betrekking tot activiteiten op het gebied van privacy-informatiebeveiliging.
• Het aangaan van leveranciersrelaties, inclusief eventuele contractuele verplichtingen in de hele toeleveringsketen.

Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.

Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.

Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:

• Houd u aan alle wetten die van toepassing zijn op de import en export van hardware of software die mogelijk een cryptografische functie kan vervullen
• Toegang bieden tot gecodeerde informatie volgens de wetten van het rechtsgebied waarin zij actief zijn.
• Gebruik drie belangrijke elementen van encryptie:
1. Digitale handtekeningen.
2. Zeehonden.
3. Digitale certificaten.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.20

ISO 27701 Clausule 7.2.8 (Records gerelateerd aan de verwerking van PII) en EU AVG Artikel 30

In deze sectie praten we over AVG-artikelen 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) en 30 (5)

Organisaties moeten een grondige set documenten bijhouden die hun acties en verplichtingen als PII-verwerker ondersteunen.

Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:

• Operationeel – het specifieke type PII-verwerking dat wordt uitgevoerd.
• Rechtvaardigingen – waarom de PII wordt verwerkt.
• Categorisch – lijsten met PII-ontvangers, inclusief internationale organisaties.
• Beveiliging – een overzicht van hoe PII wordt beschermd.
• Privacy – dat wil zeggen een rapport over de impact op de privacy.

ISO 27701 Clausule 7.5.1 (Identificeer de basis voor PII-overdracht tussen rechtsgebieden) en EU AVG Artikel 30 (1)(e)

Van tijd tot tijd kan de noodzaak ontstaan ​​om PII tussen twee verschillende rechtsgebieden over te dragen. Wanneer dit gebeurt, moeten organisaties de noodzaak daartoe rechtvaardigen en documenteren.

Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.

Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.

ISO 27701 Clausule 7.5.2 (Landen en internationale organisaties waarnaar PII kan worden overgedragen) en EU AVG Artikel 30 (1)(e)

Organisaties moeten een gedocumenteerde lijst bijhouden van de landen en organisaties waaraan zij onder redelijke omstandigheden mogelijk hun PII kunnen overdragen.

Zodra ze een lijst hebben opgesteld, moeten organisaties de informatie beschikbaar stellen aan hun klanten, inclusief eventuele uitbestede PII-bewerkingen (zie ISO 27701 clausule 7.5.1).

In bepaalde omstandigheden – vooral in het geval van strafrechtelijk onderzoek – kunnen vertrouwelijkheidswetten voorkomen dat de organisatie vooraf de identiteit van landen en organisaties van bestemming bekendmaakt (zie ISO 27701-clausules 8.5.4 en 8.5.5).

Ondersteuning van ISO 27701-controles

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Clausule 7.5.3 (Records van overdracht van PII) en EU AVG Artikel 30 (1)(e)

Het is van cruciaal belang dat organisaties de overdracht van PII naar externe organisaties nauwkeurig bijhouden.

Organisaties moeten PII kunnen vastleggen die op enigerlei wijze is gewijzigd (in overeenstemming met de verplichtingen en doelstellingen van de verwerkingsverantwoordelijke), of overdrachten die vereist zijn voordat een verzoek van de PII-opdrachtgever wordt ingewilligd om de PII te wijzigen of te wissen.

Documenten moeten onderworpen zijn aan een proportionele bewaartermijn, en moeten onderworpen zijn aan regels voor gegevensminimalisatie die alleen datgene retourneren wat nodig is om een ​​specifiek doel te bereiken.

ISO 27701 Clausule 7.5.4 (Records van openbaarmaking van PII aan derden) en EU AVG Artikel 30 (1)(d)

Organisaties moeten elke openbaarmaking van PII aan derden registreren, inclusief de volgende drie soorten informatie:

• Wat is er onthuld.
• Aan wie is de informatie bekendgemaakt.
• Wanneer de openbaarmaking heeft plaatsgevonden (datum en tijd).

Het is de standaardpraktijk om PII om verschillende redenen vrij te geven tijdens de informatieverwerking van een organisatie.

Er moeten logbestanden worden gemaakt van openbaarmakingen die plaatsvinden tijdens normale bedrijfspraktijken en van alle bijzondere omstandigheden die zich voordoen (dat wil zeggen regelgevende of juridische onderzoeken).

ISO 27701 Clausule 8.2.6 (Records gerelateerd aan de verwerking van PII) en EU AVG Artikel 30

In deze sectie praten we over AVG-artikelen 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) en 30 (5)

Organisaties moeten nauwkeurige en actuele gegevens bijhouden waarmee ze op elk moment kunnen aantonen dat ze voldoen aan contractuele verplichtingen met betrekking tot de verwerking van PII.

Afhankelijk van het rechtsgebied moeten de documenten mogelijk het volgende bevatten:

• Categorische lijsten van verwerkingen, per klant.
• Eventuele gegevensoverdrachten naar andere landen of internationale organisaties.
• Technische beveiligingscontroles.

ISO 27701 Clausule 8.4.2 (Teruggave, overdracht of verwijdering van PII) en EU AVG Artikel 30 (1)(f)

Organisaties moeten concrete plannen hebben die bepalen hoe PII kan zijn teruggekeerd, overgedragen or geneigd van, en al deze polissen beschikbaar stellen aan de klant.

• Eventuele PII terugsturen naar de klant.
• Het verstrekken van de PII aan een andere organisatie.
• Het vernietigen van informatie.
• De-identificatie.
• Archiveren.

Er zijn verschillende scenario's waarbij PII moet worden verwijderd, waaronder (maar niet beperkt tot):

Organisaties moeten categorische garanties bieden dat alle PII die niet langer nodig is, zal worden vernietigd in overeenstemming met de geldende wetgeving of regionale richtlijnen.

Alle verwijderingsbeleidsregels moeten op verzoek beschikbaar zijn voor de klant en moeten betrekking hebben op de periode die organisaties hebben om PII te vernietigen zodra een contract is beëindigd.

ISO 27701 Clausule 8.5.2 (Landen en internationale organisaties waarnaar PII kan worden overgedragen) en EU AVG Artikel 30 (2)(c)

Organisaties moeten een nauwkeurige, actuele lijst bijhouden van alle landen of organisaties waar PII mogelijk naartoe kan worden overgedragen.

Klanten moeten op elk gewenst moment een lijst met potentiële ontvangende landen en organisaties kunnen bekijken, inclusief een logboek van alle landen die betrokken zijn bij de uitbesteding van PII (zie ISO 27701-clausule 8.5.1).

Onder bepaalde omstandigheden zullen organisaties niet altijd vooraf bekend kunnen maken waar overdrachtsverzoeken vandaan komen, vooral als het gaat om strafzaken. Dit is onvermijdelijk en het zou de prioriteit van de organisatie moeten zijn om de integriteit van een wetshandhavingsoperatie te handhaven (zie ISO 27701 clausules 7.5.1, 8.5.4 en 8.5.5).

Ondersteuning van ISO 27701-controles

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Clausule 8.5.3 (Records van openbaarmaking van PII aan derden) en EU AVG Artikel 30 (1)(d)

Organisaties moeten alle gevallen waarin zij PII moeten vrijgeven aan een derde partij nauwgezet registreren.

Telkens wanneer PII wordt bekendgemaakt – hetzij als onderdeel van standaard bedrijfsroutines of in bijzondere omstandigheden, zoals een doorlopend juridisch of regelgevend proces – moeten organisaties vastleggen wat er is bekendgemaakt, de ontvanger en de onderliggende reden daarvoor.

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

Hoe ISMS.online helpt

ISMS.online helpt u een beschermingsniveau aan te tonen dat verder gaat dan 'redelijk' op een veilige, altijd beschikbare locatie.

Wij maken data mapping tot een eenvoudige taak. Door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten, kunt u alles eenvoudig vastleggen en bekijken.

Als het ergste gebeurt, ben je er klaar voor.

Met onze tools kunt u elke inbreuk plannen, communiceren, documenteren en ervan leren.

Meer informatie via het boeken van een demo van 30 minuten.