GDPR Artikel 5 bevat de meeste informatie die vanuit ISO-perspectief moet worden overwogen.
Artikel 5 kan grotendeels worden gezien als een reeks onderliggende beginselen die door de gehele Britse en EU-wetgeving heen lopen, en die talrijke verschillende nalevingsgebieden omvatten, waaronder:
Organisaties moeten volledig op de hoogte zijn van artikel 5, om de subtiele nuances die de AVG op andere gebieden van de wetgeving met zich meebrengt beter te begrijpen.
Principes met betrekking tot de verwerking van persoonsgegevens
- Persoonlijke gegevens zijn:
- (a) op rechtmatige, eerlijke en transparante wijze verwerkt in relatie tot de betrokkene ('wettigheid, eerlijkheid en transparantie');
- (b) verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder verwerkt op een manier die onverenigbaar is met die doeleinden; verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden wordt, overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd ("doelbinding");
- c) adequaat, ter zake dienend en beperkt tot wat nodig is in verband met de doeleinden waarvoor zij worden verwerkt ('gegevensminimalisatie');
- (d) accuraat en, waar nodig, bijgewerkt; alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld worden gewist of verbeterd (“nauwkeurigheid”);
- e) niet langer bewaard in een vorm die identificatie van de betrokkenen mogelijk maakt dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; Persoonsgegevens kunnen voor langere perioden worden bewaard, voor zover de persoonsgegevens uitsluitend worden verwerkt voor archiveringsdoeleinden in het algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden in overeenstemming met artikel 89, lid 1, onder voorbehoud van de implementatie van de passende technische en organisatorische maatregelen. door deze verordening vereiste maatregelen om de rechten en vrijheden van de betrokkene te waarborgen (‘opslagbeperking’);
- f) verwerkt op een manier die een passende beveiliging van de persoonsgegevens waarborgt, met inbegrip van bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met gebruikmaking van passende technische of organisatorische maatregelen ("integriteit en vertrouwelijkheid");
- De verwerkingsverantwoordelijke is verantwoordelijk voor en kan de naleving van lid 1 ('verantwoordingsplicht') aantonen.
Vanuit technisch perspectief biedt artikel 5 grotendeels het juridische kader waarbinnen organisaties moeten opereren om aan de regelgeving te blijven voldoen, aan de hand van zes leidende principes:
Hoewel ongelooflijk vaag, is 'eerlijkheid' een algemene vereiste van de AVG en dient het als interpretatiemiddel voor situaties die misschien niet in strijd zijn met de letter van de wet, maar die duidelijk niet 'eerlijk' zijn vanuit het perspectief van een individu en zijn of haar omgeving. rechten.
‘Transparantie’ vereist dat de betrokkene volledig op de hoogte is van de verwerking van zijn gegevens. De AVG vereist dat de aan de betrokkene verstrekte informatie binnen een redelijke termijn, gemakkelijk toegankelijk en vrij van fouten moet worden aangeleverd.
Artikel 5 van de AVG bepaalt dat alle verzamelde persoonlijke gegevens beperkt moeten blijven tot zeer specifieke en legitieme doeleinden, en niet opnieuw mogen worden gebruikt voor enig ander doel dan waarvoor oorspronkelijk de bedoeling was.
Gegevensminimalisatie onder AVG Artikel 5 wordt gedefinieerd onder twee termen: 'verwerking' en 'doel'. In essentie moeten organisaties ervoor zorgen dat ze alleen gegevens verwerken tot het minimumniveau, om het oorspronkelijke doel te bereiken.
Gegevens moeten te allen tijde accuraat en actueel zijn. Als gegevens onjuist blijken te zijn, stelt artikel 5 dat organisaties 'redelijke stappen' moeten ondernemen om gemaakte fouten recht te zetten. Al met al moeten individuen op de juiste manier worden vertegenwoordigd door de gegevens die over hen worden bewaard, zodat eventuele beslissingen niet worden genomen op basis van een verkeerde indruk van wie ze zijn.
Organisaties moeten zich bewust zijn van het feit dat verwerkingsactiviteiten niet eeuwig mogen doorgaan. Zodra een eerste reeks doelstellingen is bereikt, moet de gegevensverwerking stoppen. Om dit te bereiken moeten organisaties opslagtijden definiëren voordat ze gegevens verwerken.
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Informatieoverdrachtsoperaties moeten:
Bij het gebruik van elektronische overdrachtsfaciliteiten moeten organisaties:
Bij het overbrengen van fysieke media (inclusief papieren documenten) tussen gebouwen of externe locaties moeten organisaties:
Het mondeling overbrengen van gevoelige informatie brengt een uniek veiligheidsrisico met zich mee, vooral als het gaat om PII en privacybescherming.
Organisaties moeten werknemers eraan herinneren:
Organisaties moeten geheimhoudingsovereenkomsten (NDA's) en vertrouwelijkheidsovereenkomsten gebruiken om de opzettelijke of onbedoelde openbaarmaking van gevoelige informatie aan onbevoegd personeel te beschermen.
Bij het opstellen, implementeren en onderhouden van dergelijke overeenkomsten moeten organisaties:
Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van NDA's en vertrouwelijkheidsovereenkomsten (zie ISO 27002 Controles 5.31, 5.32, 5.33 en 5.34).
Applicatiebeveiligingsprocedures moeten worden ontwikkeld naast een breder privacybeleid, meestal via een gestructureerde risicobeoordeling die rekening houdt met meerdere variabelen.
Beveiligingsvereisten voor applicaties moeten het volgende omvatten:
Transactionele diensten die de stroom van privacygegevens tussen de organisatie en een externe organisatie of partnerorganisatie vergemakkelijken, moeten:
Voor alle toepassingen waarbij elektronisch bestellen en/of betalen betrokken is, moeten organisaties:
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
Organisaties moeten testgegevens zorgvuldig selecteren om ervoor te zorgen dat de testactiviteiten zowel betrouwbaar als veilig zijn. Organisaties moeten er extra op letten dat PII niet wordt gekopieerd naar de ontwikkel- en testomgevingen.
Om operationele gegevens tijdens testactiviteiten te beschermen, moeten organisaties:
Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.
Daarbij moeten organisaties:
Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.
Om een samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:
Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:
Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:
Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:
We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.
Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:
Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.
Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.
Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:
Organisaties moeten recordbeheer overwegen op vier belangrijke gebieden:
Om een functioneel archiefsysteem te onderhouden dat PII en privacygerelateerde informatie beschermt, moeten organisaties:
Organisaties moeten onderwerpspecifiek beleid implementeren dat betrekking heeft op verschillende categorieën eindpuntapparaten en softwareversies van mobiele apparaten, en hoe beveiligingscontroles moeten worden afgestemd op het verbeteren van de gegevensbeveiliging.
Bij het mobiele-apparaatbeleid, de procedures en de ondersteunende beveiligingsmaatregelen van een organisatie moet rekening worden gehouden met:
Iedereen in de organisatie die externe toegang gebruikt, moet expliciet op de hoogte worden gesteld van het beleid en de procedures voor mobiele apparaten die op hen van toepassing zijn binnen de context van beveiligd eindpuntapparaatbeheer.
Gebruikers moeten de instructie krijgen om:
Organisaties die toestaan dat personeel persoonlijke apparaten gebruikt, moeten ook rekening houden met de volgende beveiligingsmaatregelen:
Bij het opstellen van procedures die betrekking hebben op draadloze connectiviteit op eindpuntapparaten moeten organisaties:
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
In plaats van alle informatie op gelijke voet te plaatsen, moeten organisaties informatie op een onderwerpspecifieke basis classificeren.
Informatie-eigenaren moeten bij het classificeren van gegevens (vooral met betrekking tot PII) rekening houden met vier sleutelfactoren, die periodiek moeten worden beoordeeld, of wanneer dergelijke factoren veranderen:
Om een duidelijk operationeel raamwerk te bieden, moeten informatiecategorieën worden benoemd in overeenstemming met het inherente risiconiveau, mochten zich incidenten voordoen die een van de bovengenoemde factoren in gevaar brengen.
Om platformonafhankelijke compatibiliteit te garanderen, moeten organisaties hun informatiecategorieën beschikbaar stellen aan al het externe personeel met wie zij informatie delen, en ervoor zorgen dat het eigen classificatieschema van de organisatie breed wordt begrepen door alle relevante partijen.
Organisaties moeten op hun hoede zijn voor het onderclassificeren of, omgekeerd, voor het overclassificeren van gegevens. Het eerste kan leiden tot fouten bij het groeperen van PII met minder gevoelige gegevenstypen, terwijl het eerste vaak leidt tot extra kosten, een grotere kans op menselijke fouten en verwerkingsafwijkingen.
Labels zijn een belangrijk onderdeel om ervoor te zorgen dat het PII-classificatiebeleid van de organisatie (zie hierboven) wordt nageleefd en dat gegevens duidelijk kunnen worden geïdentificeerd in overeenstemming met de gevoeligheid ervan (bijvoorbeeld dat PII wordt gelabeld als verschillend van minder vertrouwelijke gegevenstypen).
PII-etiketteringsprocedures moeten het volgende definiëren:
ISO biedt organisaties volop mogelijkheden om hun eigen etiketteringstechnieken te kiezen, waaronder:
Bij het ontwikkelen van beleid dat de omgang regelt met media-items die betrokken zijn bij het opslaan van PII, moeten organisaties:
Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten robuuste procedures worden ingevoerd om ervoor te zorgen dat PII op geen enkele manier wordt beïnvloed, waaronder:
Als apparaten die zijn gebruikt om PII op te slaan beschadigd raken, moet de organisatie zorgvuldig overwegen of het al dan niet passender is om dergelijke media te vernietigen of ter reparatie op te sturen (dwalen aan de kant van het eerste).
Bekijk ISO 27701 Clausule 6.5.3.1
Als media de eerder bewaarde PII willen verwijderen, moeten organisaties procedures implementeren die de vernietiging van PII en privacygerelateerde gegevens documenteren, inclusief categorische garanties dat deze niet langer beschikbaar zijn.
Bij het implementeren van beleid dat betrekking heeft op verwijderbare media moeten organisaties:
Organisaties moeten een grondige registratie bijhouden van alle opslagmedia die worden gebruikt om gevoelige informatie te verwerken, waaronder:
Gedurende het hele proces van herbestemming, hergebruik of verwijdering van opslagmedia moeten organisaties:
Gebruikersregistratie wordt beheerst door het gebruik van toegewezen 'identiteiten'. Identiteiten bieden organisaties een raamwerk om de toegang van gebruikers tot PII en privacygerelateerde activa en materiaal te regelen, binnen de grenzen van een netwerk.
Organisaties moeten zes belangrijke richtlijnen volgen om ervoor te zorgen dat identiteiten correct worden beheerd en dat PII wordt beschermd, waar deze ook wordt opgeslagen, verwerkt of geopend:
Organisaties die samenwerken met externe organisaties (met name cloudgebaseerde platforms) moeten de inherente risico's begrijpen die aan dergelijke praktijken zijn verbonden, en stappen ondernemen om ervoor te zorgen dat PII tijdens het proces niet nadelig wordt beïnvloed (zie ISO 27002-controles 5.19 en 5.17).
Ons recente succes met het behalen van de ISO 27001-, 27017- en 27018-certificering was voor een groot deel te danken aan ISMS.online.
'Toegangsrechten' bepalen hoe toegang tot PII en privacygerelateerde informatie zowel wordt verleend als ingetrokken, waarbij dezelfde reeks leidende beginselen wordt gebruikt.
Toegangsprocedures moeten het volgende omvatten:
Organisaties moeten periodieke beoordelingen uitvoeren van de toegangsrechten binnen het netwerk, waaronder:
Van personeel dat de organisatie verlaat (opzettelijk of als ontslagen werknemer) en van degenen die het onderwerp zijn van een wijzigingsverzoek, moeten hun toegangsrechten worden aangepast op basis van robuuste risicobeheerprocedures, waaronder:
Arbeidsovereenkomsten en contracten voor contractanten/diensten moeten een uitleg bevatten van wat er gebeurt na pogingen tot ongeoorloofde toegang (zie ISO 27002 Controles 5.20, 6.2, 6.4, 6.6).
PII en privacygerelateerde activa moeten worden opgeslagen op een netwerk dat over een reeks authenticatiecontroles beschikt, waaronder:
Om het risico van ongeautoriseerde toegang tot PII te voorkomen en te minimaliseren, moeten organisaties:
PII en privacygerelateerde informatie loopt vooral gevaar wanneer de noodzaak zich voordoet om opslag- en verwerkingsmiddelen te verwijderen of opnieuw te gebruiken – hetzij intern, hetzij in samenwerking met een gespecialiseerde externe leverancier.
Bovenal moeten organisaties ervoor zorgen dat alle opslagmedia die zijn gemarkeerd voor verwijdering en die PII bevatten, dat ook moeten zijn fysiek vernietigd, veegde or overschreven (zie ISO 27002 Controle 7.10 en 8.10).
Om te voorkomen dat PII op enigerlei wijze in gevaar komt, moeten organisaties bij het weggooien of hergebruiken van activa:
PII en privacygerelateerde informatie loopt vooral gevaar wanneer onzorgvuldig personeel en externe contractanten zich niet houden aan veiligheidsmaatregelen op de werkplek die bescherming bieden tegen het per ongeluk of opzettelijk bekijken van PII door onbevoegd personeel.
Organisaties moeten een onderwerpspecifiek clear desk- en clear screen-beleid opstellen (indien nodig per werkplek) dat het volgende omvat:
Wanneer organisaties collectief gebouwen verlaten – zoals tijdens een kantoorverhuizing of soortgelijke verhuizing – moeten er inspanningen worden geleverd om ervoor te zorgen dat er geen documentatie achterblijft, noch in bureaus en archiefsystemen, noch op onduidelijke plekken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Neem 30 minuten de tijd om te zien hoe ISMS.online u uren (en uren!) bespaart
Plan een afspraakOrganisaties moeten onderwerpspecifiek beleid opstellen dat rechtstreeks ingaat op de manier waarop de organisatie een back-up maakt van de relevante gebieden van haar netwerk om PII te beschermen en de veerkracht tegen privacygerelateerde incidenten te verbeteren.
BUDR-procedures moeten worden opgesteld om het primaire doel te bereiken: dit te garanderen allen bedrijfskritische gegevens, software en systemen kunnen hierna worden hersteld Data Loss, indringing, zakelijke onderbreking en kritische mislukkingen.
Prioritair moeten BUDR-plannen:
Organisaties moeten afzonderlijke procedures ontwikkelen die uitsluitend betrekking hebben op PII (ook al zijn deze opgenomen in hun hoofd-BUDR-plan).
Wanneer er een nieuwe baan wordt gecreëerd, banen worden gewijzigd of nieuwe PII-gegevens aan de BUDR-routine worden toegevoegd, moet rekening worden gehouden met regionale verschillen in de PII-BUDR-standaarden (contractueel, juridisch en regelgevend).
Wanneer de noodzaak zich voordoet om PII te herstellen na een BUDR-incident, moeten organisaties er goed op letten de PII in de oorspronkelijke staat terug te brengen en de herstelactiviteiten bekijken om eventuele problemen met de nieuwe gegevens op te lossen.
Organisaties moeten een logboek bijhouden van herstelactiviteiten, inclusief personeel dat betrokken is bij het herstel, en een beschrijving van de PII die is hersteld.
Organisaties moeten contact opnemen met wetgevende of regelgevende instanties en ervoor zorgen dat hun procedures voor het herstellen van PII in lijn zijn met wat er van hen wordt verwacht als PII-verwerker en -controleur.
ISO definieert een 'gebeurtenis' als elke actie die wordt uitgevoerd door een digitale of fysieke aanwezigheid/entiteit op een computersysteem.
Gebeurtenislogboeken moeten het volgende bevatten:
ISO identificeert 11 gebeurtenissen/componenten die moeten worden geregistreerd (en gekoppeld aan dezelfde tijdbron – zie ISO 27002 Controle 8.17), om de PII-beveiliging te behouden en de privacybescherming van de organisatie te verbeteren:
Logboeken moeten worden beschermd tegen ongeoorloofde wijzigingen of operationele afwijkingen, waaronder:
Organisaties moeten zich bezighouden met de volgende technieken om de op logbestanden gebaseerde beveiliging te verbeteren:
Wanneer de noodzaak zich voordoet om logbestanden aan externe organisaties te verstrekken, moeten strikte maatregelen worden genomen om PII en privacygerelateerde informatie te beschermen, in overeenstemming met geaccepteerde normen voor gegevensprivacy (zie ISO 27002 Control 5.34 en aanvullende richtlijnen hieronder).
Logboeken zullen van tijd tot tijd moeten worden geanalyseerd om de privacybescherming in het algemeen te verbeteren en om beveiligingsinbreuken op te lossen en te voorkomen.
Bij het uitvoeren van loganalyses moeten organisaties rekening houden met:
Logmonitoring biedt organisaties de kans om PII bij de bron te beschermen en een proactieve benadering van privacybescherming te bevorderen.
Organisaties moeten:
ISO vereist dat organisaties logbestanden met betrekking tot PII monitoren via een 'continu en geautomatiseerd monitoring- en waarschuwingsproces'. Hiervoor kan een aparte reeks procedures nodig zijn die de toegang tot PII monitoren.
Organisaties moeten ervoor zorgen dat logboeken – als prioriteit – een duidelijk verslag geven van de toegang tot PII, waaronder:
Organisaties moeten beslissen'of, wanneer en hoe' PII-logboekinformatie moet beschikbaar worden gesteld aan klanten, waarbij alle criteria vrij beschikbaar moeten worden gesteld aan de opdrachtgevers zelf en er moet grote zorg worden besteed om ervoor te zorgen dat PII-opdrachtgevers alleen toegang kunnen krijgen tot informatie die op hen betrekking heeft.
Zie ISO 27701 clausule 6.9.4.1
Organisaties moeten veel aandacht besteden aan het waarborgen dat logbestanden die PII bevatten op de juiste manier worden beheerd en profiteren van veilige monitoring.
Er moeten geautomatiseerde procedures worden ingevoerd die logbestanden verwijderen of 'de-identificeren', in overeenstemming met een gepubliceerd bewaarbeleid (zie ISO 27002 Controle 7.4.7).
PII-opdrachtgevers moeten volledig op de hoogte zijn van alle verschillende redenen waarom hun PII wordt verwerkt.
Het is de verantwoordelijkheid van de organisatie om deze redenen aan PII-opdrachtgevers over te brengen, samen met een 'duidelijke verklaring' over waarom zij hun informatie moeten verwerken.
Alle documentatie moet duidelijk, alomvattend en gemakkelijk te begrijpen zijn voor elke PII-opdrachtgever die deze leest – inclusief alles wat met toestemming te maken heeft, evenals kopieën van interne procedures (zie ISO 27701-clausules 7.2.3, 7.3.2 en 7.2.8).
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISMS.online bespaart u tijd en geld
Vraag uw offerte aanOm een wettelijke basis te vormen voor de verwerking van PII moeten organisaties:
Voor elk hierboven genoemd punt moeten organisaties gedocumenteerde bevestiging kunnen bieden
Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).
Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.
Organisaties moeten schriftelijke, bindende contracten aangaan met elke externe PII-verwerker waarvan zij gebruik maken.
Eventuele contracten moeten ervoor zorgen dat de PII-verwerker alle vereiste informatie in ISO 27701 bijlage B implementeert, met bijzondere aandacht voor risicobeoordelingscontroles (ISO 27701 clausule 5.4.1.2) en de algehele reikwijdte van de verwerkingsactiviteiten (zie ISO 27701 clausule 6.12). ).
Organisaties moeten het weglaten van de controles in bijlage B kunnen rechtvaardigen in hun relatie met de PII-verwerker (zie ISO 27701 paragraaf 5.4.1.3).
Organisaties moeten een grondige set documenten bijhouden die hun acties en verplichtingen als PII-verwerker ondersteunen.
Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:
Organisaties moeten procedures opstellen, documenteren en implementeren waarmee PII-opdrachtgevers toegang kunnen krijgen tot hun PII, deze kunnen corrigeren en/of verwijderen.
Procedures moeten mechanismen omvatten waarmee de PII-opdrachtgever de bovenstaande actie kan uitvoeren, inclusief de manier waarop de organisatie de opdrachtgever moet informeren als er geen correcties kunnen worden aangebracht.
Organisaties moeten zich verplichten tot een gepubliceerde reactietijd voor alle verzoeken om toegang, correctie of verwijdering.
Het is van cruciaal belang om dergelijke verzoeken door te geven aan derden aan wie PII is overgedragen (zie ISO 27701, clausule 7.3.7).
De mogelijkheid van een PII-opdrachtgever om correcties of verwijderingen aan te vragen, wordt bepaald door het rechtsgebied waarin de organisatie actief is. Als zodanig moeten bedrijven zichzelf op de hoogte houden van eventuele wijzigingen in de wet- of regelgeving die van toepassing zijn op hun verplichtingen ten aanzien van PII.
Organisaties moeten het verzamelen van PII beperken op basis van drie factoren:
Organisaties mogen PII alleen verzamelen – direct of indirect – in overeenstemming met de bovenstaande factoren, en alleen voor doeleinden die relevant en noodzakelijk zijn voor het aangegeven doel.
Als concept moet 'privacy by default' worden nageleefd, dat wil zeggen dat alle optionele functies standaard moeten worden uitgeschakeld.
Organisaties moeten stappen ondernemen om ervoor te zorgen dat PII gedurende de gehele levenscyclus accuraat, volledig en up-to-date is.
Het informatiebeveiligingsbeleid en de technische configuraties van de organisatie moeten stappen bevatten die tot doel hebben fouten tijdens de PII-verwerking tot een minimum te beperken, inclusief controles over hoe te reageren op onnauwkeurigheden.
Organisaties moeten procedures voor ‘dataminimalisatie’ ontwikkelen, inclusief mechanismen zoals de-identificatie.
Er moet gebruik worden gemaakt van gegevensminimalisatie om ervoor te zorgen dat het verzamelen en verwerken van PII beperkt blijft tot het 'geïdentificeerde doel' van elke functie (zie ISO 27701, clausule 7.2.1).
Een groot deel van dit proces omvat het documenteren van de mate waarin de informatie van een PII-opdrachtgever rechtstreeks aan hem moet worden toegeschreven, en hoe minimalisering moet worden bereikt via een verscheidenheid aan beschikbare methoden.
Organisaties moeten de specifieke technieken schetsen die worden gebruikt om PII-opdrachtgevers te de-identificeren, zoals:
Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.
Zodra de organisatie heeft vastgesteld dat de PII in de toekomst op geen enkel moment hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.
Tijdelijke bestanden worden om een aantal technische redenen aangemaakt, gedurende de hele levenscyclus van de verwerking en verzameling van PII, in talloze applicaties, systemen en beveiligingsplatforms.
Organisaties moeten ervoor zorgen dat deze bestanden binnen een redelijke termijn worden vernietigd, in overeenstemming met een officieel bewaarbeleid.
Een eenvoudige manier om het bestaan van dergelijke bestanden te identificeren, is door periodieke controles van tijdelijke bestanden in het netwerk uit te voeren. Tijdelijke bestanden bevatten vaak:
Organisaties moeten zich houden aan een zogenaamde procedure voor het ophalen van afval waarmee tijdelijke bestanden worden verwijderd wanneer ze niet langer nodig zijn.
Organisaties moeten duidelijke beleidslijnen en procedures hebben die bepalen hoe PII wordt verwijderd.
Het verwijderen van gegevens is een veelomvattend onderwerp dat een groot aantal verschillende variabelen omvat, gebaseerd op de vereiste verwijderingstechniek en de aard van de gegevens die worden verwijderd.
Organisaties moeten rekening houden met:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Elke PII die wordt overgedragen aan een externe organisatie moet met de grootst mogelijke zorg gebeuren voor de verzonden informatie en met behulp van veilige middelen.
Organisaties moeten ervoor zorgen dat alleen geautoriseerd personeel toegang heeft tot transmissiesystemen, en doen dit op een manier die gemakkelijk kan worden gecontroleerd, met als enig doel de informatie zonder incidenten daar te krijgen waar deze naartoe moet.
Vanaf het begin mag PII alleen worden verwerkt in overeenstemming met de instructies van de klant.
Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.
Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.
Organisaties moeten ervoor zorgen dat tijdelijke bestanden binnen een redelijke termijn worden vernietigd, in overeenstemming met een officieel bewaarbeleid en duidelijke verwijderingsprocedures.
Een eenvoudige manier om het bestaan van dergelijke bestanden te identificeren, is door periodieke controles van tijdelijke bestanden in het netwerk uit te voeren.
Organisaties moeten zich houden aan een zogenaamde procedure voor het ophalen van afval waarmee tijdelijke bestanden worden verwijderd wanneer ze niet langer nodig zijn.
Wanneer de noodzaak zich voordoet dat PII via een datanetwerk (inclusief een speciale link) wordt verzonden, moeten organisaties zich druk maken om ervoor te zorgen dat de PII tijdig de juiste ontvangers bereikt.
Bij de overdracht van PII tussen datanetwerken moeten organisaties:
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikel 5(1)(f) | 6.10.2.1 | 5.13 8.7 8.24 |
EU AVG Artikel 5(1) | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU AVG Artikel 5(1)(f) | 6.11.1.2 | 5.17 8.2 8.5 |
EU AVG Artikel 5(1)(f) | 6.11.3.1 | 8.10 8.11 |
EU AVG Artikel 5(1)(f) | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU AVG Artikel 5(1)(f) | 6.15.1.1 | 5.20 |
EU AVG Artikel 5 (2) | 6.15.1.3 | Geen |
EU AVG Artikel 5(1)(f) | 6.3.2.1 | 8.9 8.16 |
EU AVG Artikel 5(1)(f) | 6.5.2.1 | Geen |
EU AVG Artikel 5(1)(f) | 6.5.2.2 | Geen |
EU AVG Artikel 5(1)(f) | 6.5.3.1 | 5.14 |
EU AVG Artikel 5(1)(f) | 6.5.3.2 | 5.14 |
EU AVG Artikel 5(1)(f) | 6.6.2.1 | 5.17 5.19 |
EU AVG Artikel 5(1)(f) | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU AVG Artikel 5(1)(f) | 6.6.4.2 | Geen |
EU AVG Artikel 5(1)(f) | 6.8.2.7 | 7.10 8.10 |
EU AVG Artikel 5(1)(f) | 6.8.2.9 | Geen |
EU AVG Artikel 5(1)(f) | 6.9.3.1 | 5.30 8.1 8.10 |
EU AVG Artikel 5(1)(f) | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU AVG Artikel 5(1)(f) | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU AVG Artikel 5, lid 1, onder b) | 7.2.1 | Geen |
EU AVG Artikel 5, lid 1, onder a) | 7.2.2 | Geen |
EU AVG Artikel 5 (2) | 7.2.8 | Geen |
EU AVG Artikel 5 (1)(d) | 7.3.6 | Geen |
EU AVG Artikel 5, lid 1, onder b) | 7.4.1 | Geen |
EU AVG Artikel 5 (1)(d) | 7.4.3 | Geen |
EU AVG Artikel 5, lid 1, onder c) | 7.4.4 | Geen |
EU AVG Artikel 5 (1)(c), 5 (1)(e) | 7.4.5 | Geen |
EU AVG Artikel 5, lid 1, onder c) | 7.4.6 | Geen |
EU AVG Artikel 5 (1)(f) | 7.4.8 | Geen |
EU AVG Artikel 5 (1)(f) | 7.4.9 | Geen |
EU AVG Artikel 5 (1)(a), 5 (1)(b) | 8.2.2 | Geen |
EU AVG Artikel 5, lid 1, onder c) | 8.4.1 | Geen |
EU AVG Artikel 5 (1)(f) | 8.4.3 | Geen |
Uw complete AVG-oplossing.
Met een kant-en-klare omgeving die naadloos in uw beheersysteem past, kunt u uw aanpak voor het beschermen van Europese en Britse klantgegevens beschrijven en demonstreren.
Met ISMS.online kunt u direct aan de slag met AVG-compliance en beschermingsniveaus demonstreren die verder gaan dan 'redelijk', en dat allemaal op één veilige, altijd beschikbare locatie.
In combinatie met onze 'Adopt, Adapt, Add'-implementatieaanpak biedt het ISMS.online-platform ingebouwde begeleiding bij elke stap, waardoor u minder moeite hoeft te doen om uw AVG-compliance aan te tonen. Er zullen ook een aantal krachtige tijdbesparende functies voor u beschikbaar zijn.
Meer informatie via het boeken van een korte demo van 30 minuten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Ontdek de beste manier om ISMS-succes te behalen
Ontvang uw gratis gids