GDPR Artikel 32 stelt dat organisaties verschillende maatregelen moeten implementeren die een adequaat beveiligingsniveau voor hun gegevensverwerkingsactiviteiten bereiken.
Om dit te bereiken moeten organisaties rekening houden met:
Beveiliging van verwerking
- Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen de verwerkingsverantwoordelijke en de verwerker uitvoering geven aan passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te garanderen, waaronder, indien van toepassing, onder meer:
- Het pseudonimiseren en versleutelen van persoonsgegevens.
- Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen.
- De mogelijkheid om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident.
- Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.
- Bij de beoordeling van het passende beveiligingsniveau moet in het bijzonder rekening worden gehouden met de risico's die de verwerking met zich meebrengt, met name door accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.
- Het naleven van een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de eisen van lid 1 van dit artikel aan te tonen.
- De verwerkingsverantwoordelijke en de verwerker nemen maatregelen om ervoor te zorgen dat een natuurlijke persoon die onder het gezag van de verwerkingsverantwoordelijke of de verwerker handelt en toegang heeft tot persoonsgegevens, deze niet verwerkt behalve op instructies van de verwerkingsverantwoordelijke, tenzij hij of zij daartoe verplicht is op grond van Unierecht of lidstaatrecht.
Beveiliging van verwerking
- Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen de verwerkingsverantwoordelijke en de verwerker uitvoering geven aan passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te garanderen, waaronder, indien van toepassing, onder meer:
- Het pseudonimiseren en versleutelen van persoonsgegevens.
- Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te garanderen.
- De mogelijkheid om de beschikbaarheid van en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysiek of technisch incident.
- Een proces voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.
- Bij de beoordeling van het passende beveiligingsniveau moet in het bijzonder rekening worden gehouden met de risico's die de verwerking met zich meebrengt, met name door accidentele of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot verzonden, opgeslagen of anderszins verwerkte persoonsgegevens.
- Het naleven van een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de eisen van lid 1 van dit artikel aan te tonen.
- De verwerkingsverantwoordelijke en de verwerker nemen maatregelen om ervoor te zorgen dat een natuurlijke persoon die onder het gezag van de verwerkingsverantwoordelijke of de verwerker handelt en toegang heeft tot persoonsgegevens, deze niet verwerkt behalve op instructies van de verwerkingsverantwoordelijke, tenzij hij of zij daartoe verplicht is op grond van nationaal recht.
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
AVG Artikel 32 vraagt organisaties om een risicogebaseerde benadering van gegevensverwerking te volgen, waarbij rekening wordt gehouden met verschillende belangrijke variabelen:
Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.
De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.
Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.
Dit bevat:
ISO beveelt een grondige scoping-oefening aan, zodat organisaties een PIMS kunnen produceren dat ten eerste voldoet aan de eisen op het gebied van privacybescherming en ten tweede niet in gebieden van het bedrijf terechtkomt die geen aandacht behoeven.
Organisaties moeten het volgende vaststellen en documenteren:
Alle scopingoefeningen die een PIMS-implementatie in kaart brengen, moeten een grondige beoordeling van de verwerkings- en opslagactiviteiten van PII omvatten.
Organisaties moeten proberen een Privacy Information Management System (PIMS) te implementeren, beheren en optimaliseren, in lijn met gepubliceerde ISO-normen.
Organisaties moeten een risicobeoordelingsproces voor privacybescherming in kaart brengen en implementeren dat:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Organisaties moeten een ‘risicobehandelingsproces’ voor privacybescherming/PII opstellen en implementeren dat:
Applicatiebeveiligingsprocedures moeten worden ontwikkeld naast een breder privacybeleid, meestal via een gestructureerde risicobeoordeling die rekening houdt met meerdere variabelen.
Beveiligingsvereisten voor applicaties moeten het volgende omvatten:
Transactionele diensten die de stroom van privacygegevens tussen de organisatie en een externe organisatie of partnerorganisatie vergemakkelijken, moeten:
Voor alle toepassingen waarbij elektronisch bestellen en/of betalen betrokken is, moeten organisaties:
Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.
Daarbij moeten organisaties:
Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
In deze sectie praten we over AVG-artikelen 32 (1)(b), 32 (1)(d), 32 (2)
Organisaties moeten processen ontwikkelen die voorzien in onafhankelijke beoordelingen van hun privacy-informatiebeveiligingspraktijken, inclusief zowel onderwerpspecifiek beleid als algemeen beleid.
Beoordelingen moeten worden uitgevoerd door:
Beoordelingen moeten onafhankelijk zijn en worden uitgevoerd door personen met voldoende kennis van de richtlijnen voor privacybescherming en de eigen procedures van de organisatie.
Beoordelaars moeten vaststellen of de beveiligingspraktijken voor privacy-informatie in overeenstemming zijn met de “gedocumenteerde doelstellingen en vereisten” van de organisatie.
Naast gestructureerde periodieke beoordelingen kunnen organisaties ook de noodzaak tegenkomen om ad-hocbeoordelingen uit te voeren die worden veroorzaakt door bepaalde gebeurtenissen, waaronder:
Organisaties moeten ervoor zorgen dat personeel het privacybeleid over het volledige spectrum van bedrijfsactiviteiten kan beoordelen.
Het management moet technische methoden ontwikkelen voor het rapporteren over de naleving van de privacywetgeving (inclusief automatisering en op maat gemaakte tools). Rapporten moeten worden geregistreerd, opgeslagen en geanalyseerd om de inspanningen op het gebied van PII-beveiliging en privacybescherming verder te verbeteren.
Wanneer nalevingsproblemen worden ontdekt, moeten organisaties:
Het is van cruciaal belang dat er zo snel mogelijk corrigerende maatregelen worden genomen. Als problemen bij de volgende beoordeling nog niet volledig zijn opgelost, moet er op zijn minst bewijs worden geleverd waaruit blijkt dat er vooruitgang wordt geboekt.
In plaats van alle informatie op gelijke voet te plaatsen, moeten organisaties informatie op een onderwerpspecifieke basis classificeren.
Informatie-eigenaren moeten bij het classificeren van gegevens (vooral met betrekking tot PII) rekening houden met vier sleutelfactoren, die periodiek moeten worden beoordeeld, of wanneer dergelijke factoren veranderen:
Om een duidelijk operationeel raamwerk te bieden, moeten informatiecategorieën worden benoemd in overeenstemming met het inherente risiconiveau, mochten zich incidenten voordoen die een van de bovengenoemde factoren in gevaar brengen.
Om platformonafhankelijke compatibiliteit te garanderen, moeten organisaties hun informatiecategorieën beschikbaar stellen aan al het externe personeel met wie zij informatie delen, en ervoor zorgen dat het eigen classificatieschema van de organisatie breed wordt begrepen door alle relevante partijen.
Organisaties moeten op hun hoede zijn voor het onderclassificeren of, omgekeerd, voor het overclassificeren van gegevens. Het eerste kan leiden tot fouten bij het groeperen van PII met minder gevoelige gegevenstypen, terwijl het eerste vaak leidt tot extra kosten, een grotere kans op menselijke fouten en verwerkingsafwijkingen.
Bij het ontwikkelen van beleid dat de omgang regelt met media-items die betrokken zijn bij het opslaan van PII, moeten organisaties:
Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten robuuste procedures worden ingevoerd om ervoor te zorgen dat PII op geen enkele manier wordt beïnvloed, waaronder:
Als apparaten die zijn gebruikt om PII op te slaan beschadigd raken, moet de organisatie zorgvuldig overwegen of het al dan niet passender is om dergelijke media te vernietigen of ter reparatie op te sturen (dwalen aan de kant van het eerste).
ISO waarschuwt organisaties voor het gebruik van niet-gecodeerde opslagapparaten voor elke PII-gerelateerde activiteiten.
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Zie het gedeelte hierboven over ISO 27701, clausule 6.5.3.1
Als media de eerder bewaarde PII willen verwijderen, moeten organisaties procedures implementeren die de vernietiging van PII en privacygerelateerde gegevens documenteren, inclusief categorische garanties dat deze niet langer beschikbaar zijn.
Organisaties moeten encryptie gebruiken om de vertrouwelijkheid, echtheid en integriteit van PII en privacygerelateerde informatie, en om te voldoen aan hun verschillende contractuele, wettelijke of regelgevende verplichtingen.
Encryptie is een verstrekkend concept; er bestaat geen 'one size fits all'-aanpak. Organisaties moeten hun behoeften beoordelen en een cryptografische oplossing kiezen die voldoet aan hun unieke commerciële en operationele doelstellingen.
Organisaties moeten overwegen:
Sleutelbeheerprocedures moeten over zeven hoofdfuncties worden verdeeld:
Organisatorische sleutelbeheersystemen moeten:
Organisaties moeten onderwerpspecifiek beleid opstellen dat rechtstreeks ingaat op de manier waarop de organisatie een back-up maakt van de relevante gebieden van haar netwerk om PII te beschermen en de veerkracht tegen privacygerelateerde incidenten te verbeteren.
BUDR-procedures moeten worden opgesteld om het primaire doel te bereiken: dit te garanderen allen bedrijfskritische gegevens, software en systemen kunnen hierna worden hersteld Data Loss, indringing, zakelijke onderbreking en kritische mislukkingen.
Prioritair moeten BUDR-plannen:
Organisaties moeten afzonderlijke procedures ontwikkelen die uitsluitend betrekking hebben op PII (ook al zijn deze opgenomen in hun hoofd-BUDR-plan).
Wanneer er een nieuwe baan wordt gecreëerd, banen worden gewijzigd of nieuwe PII-gegevens aan de BUDR-routine worden toegevoegd, moet rekening worden gehouden met regionale verschillen in de PII-BUDR-standaarden (contractueel, juridisch en regelgevend).
Wanneer de noodzaak zich voordoet om PII te herstellen na een BUDR-incident, moeten organisaties er goed op letten de PII in de oorspronkelijke staat terug te brengen en de herstelactiviteiten bekijken om eventuele problemen met de nieuwe gegevens op te lossen.
Organisaties moeten een logboek bijhouden van herstelactiviteiten, inclusief personeel dat betrokken is bij het herstel, en een beschrijving van de PII die is hersteld.
Organisaties moeten contact opnemen met wetgevende of regelgevende instanties en ervoor zorgen dat hun procedures voor het herstellen van PII in lijn zijn met wat er van hen wordt verwacht als PII-verwerker en -controleur.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Er is geen enkel bedrijf te bedenken waarvan de service ISMS.online kan evenaren.
Organisaties moeten eerst identificeren en record de specifieke redenen voor het verwerken van de PII die zij gebruiken.
PII-opdrachtgevers moeten volledig op de hoogte zijn van alle verschillende redenen waarom hun PII wordt verwerkt.
Het is de verantwoordelijkheid van de organisatie om deze redenen aan PII-opdrachtgevers over te brengen, samen met een 'duidelijke verklaring' over waarom zij hun informatie moeten verwerken.
Alle documentatie moet duidelijk, alomvattend en gemakkelijk te begrijpen zijn voor elke PII-opdrachtgever die deze leest – inclusief alles wat met toestemming te maken heeft, evenals kopieën van interne procedures (zie ISO 27701-clausules 7.2.3, 7.3.2 en 7.2.8).
Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.
Zodra de organisatie vaststelt dat PII op geen enkel moment in de toekomst hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.
Vanaf het begin mag PII alleen worden verwerkt in overeenstemming met de instructies van de klant.
Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.
Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikel 32 (3) | 5.2.1 | Geen |
EU AVG Artikel 32 (2) | 5.2.3 | Geen |
EU AVG Artikel 32 (2) | 5.2.4 | Geen |
EU AVG Artikelen 32 (1)(b) en 32 (2) | 5.4.1.2 | Geen |
EU AVG Artikel 32, lid 1, onder b) | 5.4.1.3 | Geen |
EU AVG Artikel 32, lid 1, onder a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU AVG Artikelen 32 (1)(b) en 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU AVG Artikelen 32 (1)(b), 32 (1)(d) en 32 (2) | 6.15.2.1 | Geen |
EU AVG Artikelen 32 (1)(d) en (32)(2) | 6.15.2.3 | Geen |
EU AVG Artikel 32 (2) | 6.5.2.1 | Geen |
EU AVG Artikel 32, lid 1, onder a) | 6.5.3.1 | 5.14 |
EU AVG Artikel 32, lid 1, onder a) | 6.5.3.3 | 5.14 |
EU AVG Artikel 32, lid 1, onder a) | 6.7.1.1 | 5.31 8.24 |
EU AVG Artikel 32, lid 1, onder c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU AVG Artikel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Geen |
EU AVG Artikel 32, lid 1, onder a) | 7.4.5 | Geen |
EU AVG Artikel 32 (4) | 8.2.2 | Geen |
Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd. Jij WILL profiteer van een reeks krachtige tijdbesparende functies.
ISMS.online maakt het u ook gemakkelijk om direct aan uw reis naar AVG-compliance te beginnen en eenvoudig een beschermingsniveau aan te tonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.
Meer informatie via het boeken van een korte demo van 30 minuten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Ontdek de beste manier om ISMS-succes te behalen
Ontvang uw gratis gids