Hoe u naleving van AVG kunt aantonen Artikel 32

Technisch commentaar

AVG Artikel 32 vraagt ​​organisaties om een ​​risicogebaseerde benadering van gegevensverwerking te volgen, waarbij rekening wordt gehouden met verschillende belangrijke variabelen:

• Een grondige risicobeoordeling waarbij rekening wordt gehouden met de accidentele of onwettige vernietiging of wijziging van persoonlijke gegevens, de toegang tot gegevens en de manier waarop gegevens worden beheerd.
• Onderzoek doen naar technische maatregelen die risico’s beperken binnen de gehele organisatie.
• Het implementeren van technieken en maatregelen die omgaan met eventuele risico's meest waarschijnlijk zal optreden.
• Gedragscodes die de organisatie en de individuen daarbinnen verantwoordelijk houden voor hun daden bij de omgang met gegevens.
• Garandeert aan betrokkenen dat iedereen die met hun gegevens omgaat, dit op een passende en wettige manier doet.

ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 32 (3)

Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.

De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.

Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.

Dit bevat:

• Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’.
• Rekening houdend met de unieke eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures.
• Eventuele administratieve factoren, inclusief de dagelijkse leiding van het bedrijf.
• Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.

ISO 27701 clausule 5.2.3 (Bepaling van de reikwijdte van het informatiebeveiligingsbeheersysteem) en EU AVG artikel 32 (2)

ISO beveelt een grondige scoping-oefening aan, zodat organisaties een PIMS kunnen produceren dat ten eerste voldoet aan de eisen op het gebied van privacybescherming en ten tweede niet in gebieden van het bedrijf terechtkomt die geen aandacht behoeven.

Organisaties moeten het volgende vaststellen en documenteren:

1. Eventuele externe of interne problemen, zoals beschreven in ISO 27001 4.1.
2. Eisen van derden zoals uiteengezet in ISO 27001 4.2.
3. Hoe de organisatie omgaat met zowel zichzelf als externe instanties (bijvoorbeeld klantcontactpunten, ICT-interfaces).

Alle scopingoefeningen die een PIMS-implementatie in kaart brengen, moeten een grondige beoordeling van de verwerkings- en opslagactiviteiten van PII omvatten.

ISO 27701 Clausule 5.2.4 (Informatiebeveiligingsbeheersysteem) en EU AVG Artikel 32 (2)

Organisaties moeten proberen een Privacy Information Management System (PIMS) te implementeren, beheren en optimaliseren, in lijn met gepubliceerde ISO-normen.

ISO 27701 Clausule 5.4.1.2 (Informatiebeveiligingsrisicobeoordeling) en EU AVG Artikel 32 (1)(b) en 32 (2)

Organisaties moeten een risicobeoordelingsproces voor privacybescherming in kaart brengen en implementeren dat:

• Omvat risicoacceptatiecriteria voor het uitvoeren van beoordelingen van de privacybescherming.
• Biedt een raamwerk voor de vergelijkbare analyse van alle beoordelingen van privacybescherming.
• Identificeert risico's op het gebied van privacybescherming (en hun eigenaren).
• Houdt rekening met de gevaren en risico's die inherent zijn aan het verlies van 'vertrouwelijkheid, beschikbaarheid en integriteit' van PII.
• Analyseert de risico's op het gebied van privacybescherming naast drie factoren:
• Hun mogelijke gevolgen.
• De waarschijnlijkheid dat ze voorkomen.
• Hun ernst.
• analyseert en prioriteert alle geïdentificeerde risico's in overeenstemming met hun risiconiveau.

ISO 27701 Clausule 5.4.1.3 (Informatiebeveiligingsrisicobehandeling) en EU AVG Artikel (32)(1)(b)

Organisaties moeten een ‘risicobehandelingsproces’ voor privacybescherming/PII opstellen en implementeren dat:

• Implementeer een 'risicobehandelingsplan' voor privacybescherming.
• Identificeert hoe een PIMS individuele risiconiveaus moet behandelen, op basis van een reeks beoordelingsresultaten.
• Benadrukt een reeks controles die nodig zijn om risicobehandeling op het gebied van privacybescherming te implementeren.
• Verwijs naar alle controles die zijn geïdentificeerd met de uitgebreide lijst van ISO in Bijlage A van ISO 27001.
• Documenteer en rechtvaardig het gebruik van eventuele controles in een formele 'Verklaring van Toepasselijkheid'.
• Vraag goedkeuring aan eventuele risico-eigenaren voordat u een behandelplan voor privacybeschermingsrisico's opstelt, waarin eventuele 'resterende' privacybeschermings- en PII-risico's zijn opgenomen.

ISO 27701 Clausule 6.11.1.2 (Veiligheid in ontwikkelings- en ondersteuningsprocessen) en EU AVG Artikel 32 (1)(a)

Applicatiebeveiligingsprocedures moeten worden ontwikkeld naast een breder privacybeleid, meestal via een gestructureerde risicobeoordeling die rekening houdt met meerdere variabelen.

Beveiligingsvereisten voor applicaties moeten het volgende omvatten:

• De niveaus van vertrouwen die inherent zijn aan alle netwerkentiteiten (zie ISO 27002 Controles 5.17, 8.2 en 8.5).
• De classificatie van gegevens waarvoor de applicatie is geconfigureerd om te verwerken (inclusief PII).
• Eventuele segregatievereisten.
• Bescherming tegen interne en externe aanvallen en/of kwaadwillig gebruik.
• Alle geldende wettelijke, contractuele of regelgevende vereisten.
• Robuuste bescherming van vertrouwelijke informatie.
• Gegevens die onderweg moeten worden beschermd.
• Eventuele cryptografische vereisten.
• Veilige invoer- en uitvoercontroles.
• Minimaal gebruik van onbeperkte invoervelden – vooral de velden die de potentie hebben om persoonlijke gegevens op te slaan.
• De afhandeling van foutmeldingen, inclusief duidelijke communicatie van foutcodes.

Transactionele diensten die de stroom van privacygegevens tussen de organisatie en een externe organisatie of partnerorganisatie vergemakkelijken, moeten:

1. Zorg voor een passend niveau van vertrouwen tussen de identiteiten van de organisatie.
2. Mechanismen opnemen die het vertrouwen tussen gevestigde identiteiten controleren (bijvoorbeeld hashing en digitale handtekeningen).
3. Stel robuuste procedures op die bepalen wat werknemers in staat zijn om belangrijke transactiedocumenten te beheren.
4. Document- en transactiebeheerprocedures bevatten die betrekking hebben op de vertrouwelijkheid, integriteit, het bewijs van verzending en ontvangst van belangrijke documenten en transacties.
5. Voeg specifieke richtlijnen toe over hoe u transacties vertrouwelijk kunt houden.

Voor alle toepassingen waarbij elektronisch bestellen en/of betalen betrokken is, moeten organisaties:

• Schets strikte eisen voor de bescherming van betalings- en bestelgegevens.
• Controleer de betalingsgegevens voordat een bestelling wordt geplaatst.
• Bewaar transactie- en privacygerelateerde gegevens veilig op een manier die niet toegankelijk is voor het publiek.
• Maak gebruik van vertrouwde autoriteiten bij het implementeren van digitale handtekeningen, waarbij u te allen tijde de privacybescherming in gedachten houdt.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Clausule 6.12.1.2 (Aanpak van beveiliging binnen leveranciersovereenkomsten) en EU AVG Artikel 32 (1)(b)

Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.

Daarbij moeten organisaties:

• Zorg voor een duidelijke beschrijving met details over de privacy-informatie waartoe toegang moet worden verkregen, en hoe toegang tot die informatie zal worden verkregen.
• Classificeer de privacy-informatie waartoe toegang moet worden verkregen in overeenstemming met een geaccepteerd classificatieschema (zie ISO 27002 Controls 5.10, 5.12 en 5.13).
• Schenk voldoende aandacht aan het eigen classificatieschema van de leverancier.
• Categoriseer rechten in vier hoofdgebieden – juridisch, statutair, regelgevend en contractueel – met een gedetailleerde beschrijving van de verplichtingen per gebied.
• Zorg ervoor dat elke partij verplicht is een reeks controles uit te voeren die de risiconiveaus voor de beveiliging van privacy-informatie monitoren, beoordelen en beheren.
• Geef een overzicht van de noodzaak dat leverancierspersoneel zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie ISO 27002 Controle 5.20).
• Zorg voor een duidelijk begrip van wat zowel aanvaardbaar als onaanvaardbaar gebruik van privacy-informatie en fysieke en virtuele activa van beide partijen inhoudt.
• Voer autorisatiecontroles in die nodig zijn voor personeel aan de leverancierszijde om toegang te krijgen tot de privacygegevens van een organisatie of deze te bekijken.
• Denk na over wat er gebeurt in het geval van contractbreuk of het niet naleven van individuele bepalingen.
• Beschrijf een incidentbeheerprocedure, inclusief hoe grote gebeurtenissen worden gecommuniceerd.
• Zorg ervoor dat het personeel een veiligheidsbewustzijnstraining krijgt.
• (Als het de leverancier is toegestaan ​​om onderaannemers in te schakelen) voeg dan eisen toe om ervoor te zorgen dat onderaannemers zich houden aan dezelfde reeks privacy-informatiebeveiligingsnormen als de leverancier.
• Denk na over de manier waarop personeel van leveranciers wordt gescreend voordat zij met privacy-informatie omgaan.
• Bepaal de behoefte aan attesten van derden die aantonen dat de leverancier in staat is te voldoen aan de vereisten voor de beveiliging van organisatorische privacy-informatie.
• Het contractuele recht hebben om de procedures van een leverancier te controleren.
• Van leveranciers eisen dat zij rapporten overleggen waarin de effectiviteit van hun eigen processen en procedures gedetailleerd wordt beschreven.
• Focus op het nemen van stappen om de tijdige en grondige oplossing van eventuele defecten of conflicten te beïnvloeden.
• Zorg ervoor dat leveranciers werken met een adequaat BUDR-beleid, om de integriteit en beschikbaarheid van PII en privacygerelateerde activa te beschermen.
• Een veranderingsmanagementbeleid aan de leverancierszijde vereisen dat de organisatie informeert over eventuele wijzigingen die mogelijk van invloed zijn op de privacybescherming.
• Implementeer fysieke beveiligingsmaatregelen die evenredig zijn aan de gevoeligheid van de gegevens die worden opgeslagen en verwerkt.
• (Wanneer gegevens moeten worden overgedragen) vraag leveranciers om ervoor te zorgen dat gegevens en bedrijfsmiddelen worden beschermd tegen verlies, schade of corruptie.
• Maak een lijst van de acties die beide partijen moeten ondernemen in geval van beëindiging.
• Vraag de leverancier om aan te geven hoe hij van plan is de privacy-informatie na beëindiging te vernietigen, of dat de gegevens niet langer nodig zijn.
• Neem maatregelen om een ​​minimale bedrijfsonderbreking tijdens een overdrachtsperiode te garanderen.

Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Clausule 6.15.2.1 (Onafhankelijke beoordeling van informatiebeveiliging) en EU AVG Artikel 32

In deze sectie praten we over AVG-artikelen 32 (1)(b), 32 (1)(d), 32 (2)

Organisaties moeten processen ontwikkelen die voorzien in onafhankelijke beoordelingen van hun privacy-informatiebeveiligingspraktijken, inclusief zowel onderwerpspecifiek beleid als algemeen beleid.

Beoordelingen moeten worden uitgevoerd door:

• Interne auditors.
• Onafhankelijke afdelingsmanagers.
• Gespecialiseerde externe organisaties.

Beoordelingen moeten onafhankelijk zijn en worden uitgevoerd door personen met voldoende kennis van de richtlijnen voor privacybescherming en de eigen procedures van de organisatie.

Beoordelaars moeten vaststellen of de beveiligingspraktijken voor privacy-informatie in overeenstemming zijn met de “gedocumenteerde doelstellingen en vereisten” van de organisatie.

Naast gestructureerde periodieke beoordelingen kunnen organisaties ook de noodzaak tegenkomen om ad-hocbeoordelingen uit te voeren die worden veroorzaakt door bepaalde gebeurtenissen, waaronder:

• Naar aanleiding van wijzigingen in intern beleid, wetten, richtlijnen en voorschriften die van invloed zijn op de privacybescherming.
• Na grote incidenten die impact hebben gehad op de privacybescherming.
• Wanneer er een nieuw bedrijf wordt opgericht of er grote veranderingen worden doorgevoerd in het huidige bedrijf.
• Na de adoptie van een nieuw product of nieuwe dienst die op enigerlei wijze met privacybescherming te maken heeft.

ISO 27701 Clausule 6.15.2.3 (Technical Compliance Review) en EU AVG Artikelen 32 (1)(d) en (32)(2)

Organisaties moeten ervoor zorgen dat personeel het privacybeleid over het volledige spectrum van bedrijfsactiviteiten kan beoordelen.

Het management moet technische methoden ontwikkelen voor het rapporteren over de naleving van de privacywetgeving (inclusief automatisering en op maat gemaakte tools). Rapporten moeten worden geregistreerd, opgeslagen en geanalyseerd om de inspanningen op het gebied van PII-beveiliging en privacybescherming verder te verbeteren.

Wanneer nalevingsproblemen worden ontdekt, moeten organisaties:

• Stel de oorzaak vast.
• Bepaal een methode voor corrigerende maatregelen om lacunes in de naleving te dichten.
• Bekijk het probleem na een passende periode opnieuw om er zeker van te zijn dat het probleem is opgelost.

Het is van cruciaal belang dat er zo snel mogelijk corrigerende maatregelen worden genomen. Als problemen bij de volgende beoordeling nog niet volledig zijn opgelost, moet er op zijn minst bewijs worden geleverd waaruit blijkt dat er vooruitgang wordt geboekt.

ISO 27701 Clausule 6.5.2.1 (Classificatie van informatie) en EU AVG Artikel (32)(2)

In plaats van alle informatie op gelijke voet te plaatsen, moeten organisaties informatie op een onderwerpspecifieke basis classificeren.

Informatie-eigenaren moeten bij het classificeren van gegevens (vooral met betrekking tot PII) rekening houden met vier sleutelfactoren, die periodiek moeten worden beoordeeld, of wanneer dergelijke factoren veranderen:

1. De vertrouwelijkheid van de gegevens.
2. De integriteit van de gegevens.
3. Data beschikbaarheid levels.
4. Die van de organisatie wettelijke verplichtingen richting PII.

Om een ​​duidelijk operationeel raamwerk te bieden, moeten informatiecategorieën worden benoemd in overeenstemming met het inherente risiconiveau, mochten zich incidenten voordoen die een van de bovengenoemde factoren in gevaar brengen.

Om platformonafhankelijke compatibiliteit te garanderen, moeten organisaties hun informatiecategorieën beschikbaar stellen aan al het externe personeel met wie zij informatie delen, en ervoor zorgen dat het eigen classificatieschema van de organisatie breed wordt begrepen door alle relevante partijen.

Organisaties moeten op hun hoede zijn voor het onderclassificeren of, omgekeerd, voor het overclassificeren van gegevens. Het eerste kan leiden tot fouten bij het groeperen van PII met minder gevoelige gegevenstypen, terwijl het eerste vaak leidt tot extra kosten, een grotere kans op menselijke fouten en verwerkingsafwijkingen.

ISO 27701 Clausule 6.5.3.1 (Beheer van verwijderbare media) en EU AVG Artikel 32 (1)(a)

Bij het ontwikkelen van beleid dat de omgang regelt met media-items die betrokken zijn bij het opslaan van PII, moeten organisaties:

• Ontwikkel uniek onderwerpspecifiek beleid op basis van afdelings- of functiegerelateerde vereisten.
• Zorg ervoor dat de juiste autorisatie wordt aangevraagd en verleend voordat personeel opslagmedia uit het netwerk kan verwijderen (inclusief het bijhouden van een nauwkeurige en actuele registratie van dergelijke activiteiten).
• Bewaar media in overeenstemming met de specificaties van de fabrikant, vrij van omgevingsschade.
• Overweeg het gebruik van encryptie als voorwaarde voor toegang, of, waar dit niet mogelijk is, het implementeren van aanvullende fysieke beveiligingsmaatregelen.
• Minimaliseer het risico dat PII beschadigd raakt door, indien nodig, informatie tussen opslagmedia over te dragen.
• Introduceer PII-redundantie door beschermde informatie tegelijkertijd op meerdere assets op te slaan.
• Sta het gebruik van opslagmedia op goedgekeurde ingangen (dwz SD-kaarten en USB-poorten) alleen per asset toe.
• Houd nauwlettend toezicht op de overdracht van PII naar opslagmedia, voor welk doel dan ook.
• Houd rekening met de risico's die inherent zijn aan de fysieke overdracht van opslagmedia (en bij volmacht de PII die erop staat) bij het verplaatsen van activa tussen personeel of gebouwen (zie ISO 27002 Controle 5.14).

Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten robuuste procedures worden ingevoerd om ervoor te zorgen dat PII op geen enkele manier wordt beïnvloed, waaronder:

• Het formatteren van de opslagmedia en ervoor zorgen dat alle PII wordt verwijderd vóór hergebruik (zie ISO 27002 Controle 8.10), inclusief het bijhouden van adequate documentatie van al dergelijke activiteiten.
• Het veilig verwijderen van alle media die de organisatie niet meer kan gebruiken en die zijn gebruikt om PII op te slaan.
• Als de verwijdering de betrokkenheid van een derde partij vereist, moeten organisaties er goed op letten dat zij een geschikte partner zijn om dergelijke taken uit te voeren, in overeenstemming met de verantwoordelijkheid van de organisatie ten aanzien van PII en privacybescherming.
• Implementatie van procedures die identificeren welke opslagmedia beschikbaar zijn voor hergebruik, of dienovereenkomstig kunnen worden weggegooid.

Als apparaten die zijn gebruikt om PII op te slaan beschadigd raken, moet de organisatie zorgvuldig overwegen of het al dan niet passender is om dergelijke media te vernietigen of ter reparatie op te sturen (dwalen aan de kant van het eerste).

ISO waarschuwt organisaties voor het gebruik van niet-gecodeerde opslagapparaten voor elke PII-gerelateerde activiteiten.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.14

ISO 27701 clausule 6.5.3.3 (overdracht van fysieke media) en EU AVG artikel 32, lid 1, onder a)

Zie het gedeelte hierboven over ISO 27701, clausule 6.5.3.1

Extra informatie

Als media de eerder bewaarde PII willen verwijderen, moeten organisaties procedures implementeren die de vernietiging van PII en privacygerelateerde gegevens documenteren, inclusief categorische garanties dat deze niet langer beschikbaar zijn.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.14

ISO 27701 Clausule 6.7.1.1 (Beleid inzake het gebruik van cryptografische controles) en EU AVG Artikel 32 (1)(a)

Organisaties moeten encryptie gebruiken om de vertrouwelijkheid, echtheid en integriteit van PII en privacygerelateerde informatie, en om te voldoen aan hun verschillende contractuele, wettelijke of regelgevende verplichtingen.

Encryptie is een verstrekkend concept; er bestaat geen 'one size fits all'-aanpak. Organisaties moeten hun behoeften beoordelen en een cryptografische oplossing kiezen die voldoet aan hun unieke commerciële en operationele doelstellingen.

Organisaties moeten overwegen:

• Het ontwikkelen van een onderwerpspecifiek benadering van cryptografie, die rekening houdt met verschillende afdelings-, rolgebaseerde en operationele vereisten.
• Het passende beschermingsniveau (samen met het type informatie dat moet worden gecodeerd).
• Mobiele apparaten en opslagmedia.
• Beheer van cryptografische sleutels (opslag, verwerking etc.).
• Gespecialiseerde rollen en verantwoordelijkheden voor cryptografische functies, inclusief implementatie en sleutelbeheer (zie ISO 27002 Controle 8.24).
• De technische encryptiestandaarden die moeten worden toegepast, inclusief algoritmen, coderingssterkte en richtlijnen voor beste praktijken.
• Hoe encryptie zal werken naast andere inspanningen op het gebied van cyberbeveiliging, zoals bescherming tegen malware en gateway-beveiliging.
• Grensoverschrijdende en rechtsgebiedoverschrijdende wetten en richtlijnen (zie ISO 27002 Controle 5.31).
• Contracten met externe cryptografiepartners die de aansprakelijkheid, betrouwbaarheid en responstijden geheel of gedeeltelijk dekken.

Sleutelbeheer

Sleutelbeheerprocedures moeten over zeven hoofdfuncties worden verdeeld:

1. Generation.
2. Storage.
3. Archiveren.
4. Ophalen.
5. Distribution.
6. Met pensioen gaan.
7. Verwoesting.

Organisatorische sleutelbeheersystemen moeten:

• Beheer de sleutelgeneratie voor alle versleutelingsmethoden.
• Implementeer publieke sleutelcertificaten.
• Zorg ervoor dat alle relevante menselijke en niet-menselijke entiteiten de vereiste sleutels ontvangen.
• Sleutels opbergen.
• Wijzig de sleutels, indien nodig.
• Zorg voor procedures voor het omgaan met mogelijk gecompromitteerde sleutels.
• Sleutels buiten gebruik stellen of toegang per gebruiker intrekken.
• Herstel verloren of defecte sleutels, vanuit back-ups en sleutelarchieven.
• Vernietig sleutels die niet langer nodig zijn.
• Beheer de activatie- en deactiveringslevenscyclus, zodat bepaalde sleutels alleen beschikbaar zijn gedurende de periode dat ze nodig zijn.
• Verwerk officiële verzoeken om toegang van wetshandhavingsinstanties of, in bepaalde omstandigheden, regelgevende instanties.
• Bevat toegangscontroles die de fysieke toegang tot sleutels en gecodeerde informatie beschermen.
• Houd rekening met de authenticiteit van publieke sleutels, voorafgaand aan de implementatie (certificaatautoriteiten en publieke certificaten).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 Clausule 6.9.3.1 (Informatieback-up) en EU AVG Artikel 32 (1)(c)

Organisaties moeten onderwerpspecifiek beleid opstellen dat rechtstreeks ingaat op de manier waarop de organisatie een back-up maakt van de relevante gebieden van haar netwerk om PII te beschermen en de veerkracht tegen privacygerelateerde incidenten te verbeteren.

BUDR-procedures moeten worden opgesteld om het primaire doel te bereiken: dit te garanderen allen bedrijfskritische gegevens, software en systemen kunnen hierna worden hersteld Data Loss, indringing, zakelijke onderbreking en kritische mislukkingen.

Prioritair moeten BUDR-plannen:

• Geef een overzicht van de herstelprocedures die alle kritieke systemen en services bestrijken.
• In staat zijn om werkbare kopieën te maken van alle systemen, gegevens of applicaties die deel uitmaken van een back-uptaak.
• Voldoen aan de commerciële en operationele eisen van de organisatie (zie ISO 27002 Controle 5.30).
• Bewaar back-ups op een tegen de omgeving beschermde locatie die fysiek gescheiden is van de brongegevens (zie ISO 27002 Controle 8.1).
• Test en evalueer regelmatig back-uptaken aan de hand van de door de organisatie voorgeschreven hersteltijden, om de beschikbaarheid van gegevens te garanderen.
• Versleutel alle PII-gerelateerde back-upgegevens.
• Controleer nogmaals of er gegevens verloren zijn gegaan voordat u een back-uptaak ​​uitvoert.
• Hanteer een rapportagesysteem dat het personeel op de hoogte stelt van de status van back-uptaken.
• Probeer gegevens van cloudgebaseerde platforms die niet rechtstreeks door de organisatie worden beheerd, op te nemen in interne back-uptaken.
• Bewaar back-ups in overeenstemming met een passend PII-bewaarbeleid (zie ISO 27002 Controle 8.10).

Organisaties moeten afzonderlijke procedures ontwikkelen die uitsluitend betrekking hebben op PII (ook al zijn deze opgenomen in hun hoofd-BUDR-plan).

Wanneer er een nieuwe baan wordt gecreëerd, banen worden gewijzigd of nieuwe PII-gegevens aan de BUDR-routine worden toegevoegd, moet rekening worden gehouden met regionale verschillen in de PII-BUDR-standaarden (contractueel, juridisch en regelgevend).

Wanneer de noodzaak zich voordoet om PII te herstellen na een BUDR-incident, moeten organisaties er goed op letten de PII in de oorspronkelijke staat terug te brengen en de herstelactiviteiten bekijken om eventuele problemen met de nieuwe gegevens op te lossen.

Organisaties moeten een logboek bijhouden van herstelactiviteiten, inclusief personeel dat betrokken is bij het herstel, en een beschrijving van de PII die is hersteld.

Organisaties moeten contact opnemen met wetgevende of regelgevende instanties en ervoor zorgen dat hun procedures voor het herstellen van PII in lijn zijn met wat er van hen wordt verwacht als PII-verwerker en -controleur.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Clausule 7.2.1 (Identificeren en Documenteren Doel) en EU AVG Artikel 32 (4)

Organisaties moeten eerst identificeren en record de specifieke redenen voor het verwerken van de PII die zij gebruiken.

PII-opdrachtgevers moeten volledig op de hoogte zijn van alle verschillende redenen waarom hun PII wordt verwerkt.

Het is de verantwoordelijkheid van de organisatie om deze redenen aan PII-opdrachtgevers over te brengen, samen met een 'duidelijke verklaring' over waarom zij hun informatie moeten verwerken.

Alle documentatie moet duidelijk, alomvattend en gemakkelijk te begrijpen zijn voor elke PII-opdrachtgever die deze leest – inclusief alles wat met toestemming te maken heeft, evenals kopieën van interne procedures (zie ISO 27701-clausules 7.2.3, 7.3.2 en 7.2.8).

Ondersteuning van ISO 27701-controles

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Clausule 7.4.5 (PII-anonimisering en verwijdering aan het einde van de verwerking) en EU AVG Artikel 32 (1)(a)

Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.

Zodra de organisatie vaststelt dat PII op geen enkel moment in de toekomst hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.

ISO 27701 Clausule 8.2.2 (Organisatiedoeleinden) en EU AVG Artikel 32 (4)

Vanaf het begin mag PII alleen worden verwerkt in overeenstemming met de instructies van de klant.

Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.

Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

Hoe ISMS.online helpt

Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd. Jij WILL profiteer van een reeks krachtige tijdbesparende functies.

ISMS.online maakt het u ook gemakkelijk om direct aan uw reis naar AVG-compliance te beginnen en eenvoudig een beschermingsniveau aan te tonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.

Meer informatie via het boeken van een korte demo van 30 minuten.