Hoe u naleving van AVG kunt aantonen Artikel 5

Informatieoverdracht

ISO 27701 Clausule 6.10.2.1 (Beleid en procedures voor informatieoverdracht) en EU AVG Artikel 5, lid 1, onder f)

Informatieoverdrachtsoperaties moeten:

• Focus op controles die voorkomen dat de onderschepping, onbevoegde toegang, kopiëren, wijziging, verkeerd routeren, vernietiging en denial of service van PII en privacygerelateerde informatie (zie ISO 27002 Controle 8.24).
• Zorg ervoor dat informatie traceerbaar is.
• Categoriseer een lijst met contactpersonen – dat wil zeggen eigenaren, risico-eigenaren enz.
• Geef een overzicht van de verantwoordelijkheden bij een beveiligingsincident.
• Zorg voor duidelijke en beknopte etiketteringssystemen (zie ISO 27002 Controle 5.13).
• Zorg voor een betrouwbare overdrachtsfaciliteit, inclusief onderwerpspecifiek beleid inzake de overdracht van gegevens (zie ISO 27002 Controle 5.10).
• Geef richtlijnen voor bewaring en verwijdering op, inclusief eventuele regio- of sectorspecifieke wetten en richtlijnen.

Elektronische overdracht

Bij het gebruik van elektronische overdrachtsfaciliteiten moeten organisaties:

1. Probeer kwaadaardige programma's te detecteren en ertegen te beschermen (zie ISO 27002 Controle 8.7).
2. Focus op het beschermen van bijlagen.
3. Wees uiterst voorzichtig bij het verzenden van informatie naar het juiste adres.
4. Mandaat voor een goedkeuringsproces, voordat werknemers informatie kunnen doorgeven via 'externe publieke diensten' (bijvoorbeeld instant messaging) en meer controle kunnen uitoefenen over dergelijke methoden.
5. Vermijd waar mogelijk het gebruik van sms-diensten en faxapparaten.

Fysieke overdrachten (inclusief opslagmedia)

Bij het overbrengen van fysieke media (inclusief papieren documenten) tussen gebouwen of externe locaties moeten organisaties:

• Geef duidelijke verantwoordelijkheden voor verzending en ontvangst weer.
• Let goed op het invoeren van de juiste adresgegevens.
• Gebruik verpakkingen die bescherming bieden tegen fysieke schade of manipulatie.
• Werk met een lijst van geautoriseerde koeriers en externe verzenders, inclusief robuuste identificatiestandaarden.
• Houd grondige logboeken bij van alle fysieke overdrachten, inclusief gegevens van de ontvanger, data en tijden van overdrachten en eventuele fysieke beschermingsmaatregelen.

Mondelinge overdrachten

Het mondeling overbrengen van gevoelige informatie brengt een uniek veiligheidsrisico met zich mee, vooral als het gaat om PII en privacybescherming.

Organisaties moeten werknemers eraan herinneren:

1. Vermijd dergelijke gesprekken op een openbare plaats of op een onbeveiligde interne locatie.
2. Laat geen voicemailberichten achter die gevoelige of beperkte informatie bevatten.
3. Zorg ervoor dat de persoon met wie ze spreken het juiste niveau heeft om de genoemde informatie te ontvangen, en informeer hem of haar over wat er gaat worden gezegd voordat de informatie wordt vrijgegeven.
4. Houd rekening met hun omgeving en zorg ervoor dat de controles in de kamer worden nageleefd.

Aanvullende Britse AVG-overwegingen

• Artikel 5 – (1)(f)

Ondersteuning van ISO 27002-controles

• ISO 27002 5.13
• ISO 27002 8.7
• ISO 27002 8.24

ISO 27701 Clausule 6.10.2.4 (Vertrouwelijkheids- of geheimhoudingsovereenkomsten) en EU AVG Artikel 5 (1)

Organisaties moeten geheimhoudingsovereenkomsten (NDA's) en vertrouwelijkheidsovereenkomsten gebruiken om de opzettelijke of onbedoelde openbaarmaking van gevoelige informatie aan onbevoegd personeel te beschermen.

Bij het opstellen, implementeren en onderhouden van dergelijke overeenkomsten moeten organisaties:

• Geef een definitie voor de informatie die moet worden beschermd.
• Geef duidelijk aan wat de verwachte duur van de overeenkomst is.
• Geef duidelijk aan welke acties nodig zijn zodra een overeenkomst is beëindigd.
• Alle verantwoordelijkheden die zijn overeengekomen door bevestigde ondertekenaars.
• Eigendom van informatie (inclusief IP en bedrijfsgeheimen).
• Hoe ondertekenaars de informatie mogen gebruiken.
• Geef een duidelijke omschrijving van het recht van de organisatie om vertrouwelijke informatie te controleren.
• Eventuele gevolgen die voortvloeien uit niet-naleving.
• Evalueert regelmatig hun vertrouwelijkheidsbehoeften en past eventuele toekomstige overeenkomsten dienovereenkomstig aan.

Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van NDA's en vertrouwelijkheidsovereenkomsten (zie ISO 27002 Controles 5.31, 5.32, 5.33 en 5.34).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

Ontwikkeling en onderhoud van systeemaankoop

ISO 27701 Clausule 6.11.1.2 (Beveiliging van applicatiediensten op openbare netwerken) en EU AVG Artikel 5 (1)(f)

Applicatiebeveiligingsprocedures moeten worden ontwikkeld naast een breder privacybeleid, meestal via een gestructureerde risicobeoordeling die rekening houdt met meerdere variabelen.

Beveiligingsvereisten voor applicaties moeten het volgende omvatten:

1. De niveaus van vertrouwen die inherent zijn aan alle netwerkentiteiten (zie ISO 27002-controles 5.17, 8.2 en 8.5).
2. De classificatie van gegevens waarvoor de applicatie is geconfigureerd om te verwerken (inclusief PII).
3. Eventuele segregatievereisten.
4. Bescherming tegen interne en externe aanvallen en/of kwaadwillig gebruik.
5. Alle geldende wettelijke, contractuele of regelgevende vereisten.
6. Robuuste bescherming van vertrouwelijke informatie.
7. Gegevens die onderweg moeten worden beschermd.
8. Eventuele cryptografische vereisten.
9. Veilige invoer- en uitvoercontroles.
10. Minimaal gebruik van onbeperkte invoervelden – vooral de velden die de potentie hebben om persoonlijke gegevens op te slaan.
11. De afhandeling van foutmeldingen, inclusief duidelijke communicatie van foutcodes.

Transactionele Diensten

Transactionele diensten die de stroom van privacygegevens tussen de organisatie en een externe organisatie of partnerorganisatie vergemakkelijken, moeten:

• Zorg voor een passend niveau van vertrouwen tussen de identiteiten van de organisatie.
• Mechanismen opnemen die het vertrouwen tussen gevestigde identiteiten controleren (bijvoorbeeld hashing en digitale handtekeningen).
• Stel robuuste procedures op die bepalen wat werknemers in staat zijn om belangrijke transactiedocumenten te beheren.
• Document- en transactiebeheerprocedures bevatten die betrekking hebben op de vertrouwelijkheid, integriteit, het bewijs van verzending en ontvangst van belangrijke documenten en transacties.
• Voeg specifieke richtlijnen toe over hoe u transacties vertrouwelijk kunt houden.

Elektronische bestel- en betalingsapplicaties

Voor alle toepassingen waarbij elektronisch bestellen en/of betalen betrokken is, moeten organisaties:

• Schets strikte eisen voor de bescherming van betalings- en bestelgegevens.
• Controleer de betalingsgegevens voordat een bestelling wordt geplaatst.
• Bewaar transactie- en privacygerelateerde gegevens veilig op een manier die niet toegankelijk is voor het publiek.
• Maak gebruik van vertrouwde autoriteiten bij het implementeren van digitale handtekeningen, waarbij u te allen tijde de privacybescherming in gedachten houdt.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 clausule 6.11.3.1 (Bescherming van testgegevens) en EU AVG artikel 5, lid 1, onder f)

Organisaties moeten testgegevens zorgvuldig selecteren om ervoor te zorgen dat de testactiviteiten zowel betrouwbaar als veilig zijn. Organisaties moeten er extra op letten dat PII niet wordt gekopieerd naar de ontwikkel- en testomgevingen.

Om operationele gegevens tijdens testactiviteiten te beschermen, moeten organisaties:

1. Maak gebruik van een homogene set toegangscontroleprocedures in test- en operationele omgevingen.
2. Zorg ervoor dat autorisatie vereist is telkens wanneer operationele gegevens naar een testomgeving worden gekopieerd.
3. Registreer het kopiëren en gebruiken van operationele gegevens.
4. Bescherm privacy-informatie door middel van technieken zoals maskering (zie ISO 27002 Controle 8.11).
5. Het verwijderen van operationele gegevens uit een testomgeving, zodra deze niet langer nodig zijn (zie ISO 27002 Controle 8.10).
6. Sla testgegevens veilig op en zorg ervoor dat medewerkers zich ervan bewust zijn dat deze alleen voor testdoeleinden mogen worden gebruikt.

Ondersteuning van ISO 27002-controles

• ISO 27002 8.10
• ISO 27002 8.11

Relaties met leveranciers

ISO 27701 Clausule 6.12.1.2 (Aanpak van beveiliging binnen leveranciersovereenkomsten) en EU AVG Artikel 5 (1)(f)

Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.

Daarbij moeten organisaties:

• Zorg voor een duidelijke beschrijving met details over de privacy-informatie waartoe toegang moet worden verkregen, en hoe toegang tot die informatie zal worden verkregen.
• Classificeer de privacy-informatie waartoe toegang moet worden verkregen in overeenstemming met een geaccepteerd classificatieschema (zie ISO 27002 Controls 5.10, 5.12 en 5.13).
• Schenk voldoende aandacht aan het eigen classificatieschema van de leverancier.
• Categoriseer rechten in vier hoofdgebieden – juridisch, statutair, regelgevend en contractueel – met een gedetailleerde beschrijving van de verplichtingen per gebied.
• Zorg ervoor dat elke partij verplicht is een reeks controles uit te voeren die de risiconiveaus voor de beveiliging van privacy-informatie monitoren, beoordelen en beheren.
• Geef een overzicht van de noodzaak dat leverancierspersoneel zich moet houden aan de informatiebeveiligingsnormen van een organisatie (zie ISO 27002 Controle 5.20).
• Zorg voor een duidelijk begrip van wat zowel aanvaardbaar als onaanvaardbaar gebruik van privacy-informatie en fysieke en virtuele activa van beide partijen inhoudt.
• Voer autorisatiecontroles in die nodig zijn voor personeel aan de leverancierszijde om toegang te krijgen tot de privacygegevens van een organisatie of deze te bekijken.
• Denk na over wat er gebeurt in het geval van contractbreuk of het niet naleven van individuele bepalingen.
• Beschrijf een incidentbeheerprocedure, inclusief hoe grote gebeurtenissen worden gecommuniceerd.
• Zorg ervoor dat het personeel een veiligheidsbewustzijnstraining krijgt.
• (Als het de leverancier is toegestaan ​​om onderaannemers in te schakelen) voeg dan eisen toe om ervoor te zorgen dat onderaannemers zich houden aan dezelfde reeks privacy-informatiebeveiligingsnormen als de leverancier.
• Denk na over de manier waarop personeel van leveranciers wordt gescreend voordat zij met privacy-informatie omgaan.
• Bepaal de behoefte aan attesten van derden die aantonen dat de leverancier in staat is te voldoen aan de vereisten voor de beveiliging van organisatorische privacy-informatie.
• Het contractuele recht hebben om de procedures van een leverancier te controleren.
• Van leveranciers eisen dat zij rapporten overleggen waarin de effectiviteit van hun eigen processen en procedures gedetailleerd wordt beschreven.
• Focus op het nemen van stappen om de tijdige en grondige oplossing van eventuele defecten of conflicten te beïnvloeden.
• Zorg ervoor dat leveranciers werken met een adequaat BUDR-beleid, om de integriteit en beschikbaarheid van PII en privacygerelateerde activa te beschermen.
• Een veranderingsmanagementbeleid aan de leverancierszijde vereisen dat de organisatie informeert over eventuele wijzigingen die mogelijk van invloed zijn op de privacybescherming.
• Implementeer fysieke beveiligingsmaatregelen die evenredig zijn aan de gevoeligheid van de gegevens die worden opgeslagen en verwerkt.
• (Wanneer gegevens moeten worden overgedragen) vraag leveranciers om ervoor te zorgen dat gegevens en bedrijfsmiddelen worden beschermd tegen verlies, schade of corruptie.
• Maak een lijst van de acties die beide partijen moeten ondernemen in geval van beëindiging.
• Vraag de leverancier om aan te geven hoe hij van plan is de privacy-informatie na beëindiging te vernietigen, of dat de gegevens niet langer nodig zijn.
• Neem maatregelen om een ​​minimale bedrijfsonderbreking tijdens een overdrachtsperiode te garanderen.

Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

Beheer en naleving van informatiebeveiligingsincidenten

ISO 27701 Clausule 6.13.1.1 (Verantwoordelijkheden en procedures) en EU AVG Artikel 5 (1)(f)

Rollen en verantwoordelijkheden

Om een ​​samenhangend, goed functionerend incidentbeheerbeleid te creëren dat de beschikbaarheid en integriteit van privacy-informatie tijdens kritieke incidenten waarborgt, moeten organisaties:

• Houd u aan een methode voor het melden van beveiligingsgebeurtenissen op het gebied van privacyinformatie.
• Zet een reeks processen op die privacy-informatiebeveiligingsgerelateerde incidenten in het hele bedrijf beheren, waaronder:
• Administratie.
• Documentatie.
• Detectie.
• Triage.
• Prioritering.
• Analyse.
• Communicatie.
• Stel een incidentresponsprocedure op waarmee de organisatie incidenten kan beoordelen, erop kan reageren en ervan kan leren.
• Zorg ervoor dat incidenten worden beheerd door opgeleid en bekwaam personeel dat profiteert van voortdurende training- en certificeringsprogramma's op de werkplek.

Incident Management

Personeel dat betrokken is bij incidenten op het gebied van privacy-informatiebeveiliging moet het volgende begrijpen:

1. De tijd die nodig is om een ​​incident op te lossen.
2. Eventuele gevolgen.
3. De ernst van het incident.

Bij het omgaan met privacy-informatiebeveiligingsgebeurtenissen moet het personeel:

• Beoordeel evenementen in overeenstemming met strikte criteria die ze valideren als goedgekeurde incidenten.
• Categoriseer privacy-informatiebeveiligingsgebeurtenissen in 5 subonderwerpen:
• Monitoring (zie ISO 27002 Controles 8.15 en 8.16).
• Detectie (zie ISO 27002 Controle 8.16).
• Classificatie (zie ISO 27002 Controle 5.25).
• Analyse.
• Rapportage (zie ISO 27002 Controle 6.8).
• Bij het oplossen van privacy-informatiebeveiligingsincidenten moeten organisaties:
• Reageer en escaleer problemen (zie ISO 27002 Controle 5.26) in overeenstemming met het type incident.
• Activeer plannen voor crisisbeheer en bedrijfscontinuïteit.
• Beïnvloed een beheerd herstel na een incident dat de operationele en/of financiële schade beperkt.
• Zorg voor een grondige communicatie van incidentgerelateerde gebeurtenissen naar al het relevante personeel.
• Neem deel aan samenwerking (zie ISO 27002 Controles 5.5 en 5.6).
• Registreer alle op incidenten beheerde activiteiten.
• Verantwoordelijk zijn voor de omgang met incidentgerelateerd bewijsmateriaal (zie ISO 27002 Controle 5.28).
• Voer een grondige analyse van de hoofdoorzaak uit om het risico te minimaliseren dat het incident zich opnieuw voordoet, inclusief voorgestelde wijzigingen in eventuele processen.

Rapportageactiviteiten moeten rond vier belangrijke gebieden worden gecentreerd:

1. Acties die moeten worden ondernomen zodra zich een informatiebeveiligingsgebeurtenis voordoet.
2. Incidentformulieren waarin informatie gedurende een incident wordt vastgelegd.
3. End-to-end feedbackprocessen voor al het relevante personeel.
4. Incidentrapporten waarin gedetailleerd wordt beschreven wat er is gebeurd nadat een incident is opgelost.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 Clausule 6.15.1.1 (Identificatie van toepasselijke wetgeving en contractuele vereisten) en EU AVG Artikel 5 (1)(f)

Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:

• Opstellen en/of aanpassen van privacy-informatiebeveiligingsprocedures.
• Het categoriseren van informatie.
• Beginnen met risicobeoordelingen met betrekking tot activiteiten op het gebied van privacy-informatiebeveiliging.
• Het aangaan van leveranciersrelaties, inclusief eventuele contractuele verplichtingen in de hele toeleveringsketen.

Wetgevende en regelgevende factoren

Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.

Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.

Geheimschrift

Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:

1. Houd u aan alle wetten die van toepassing zijn op de import en export van hardware of software die mogelijk een cryptografische functie kan vervullen.
2. Toegang bieden tot gecodeerde informatie volgens de wetten van het rechtsgebied waarin zij actief zijn.
3. Gebruik drie belangrijke elementen van encryptie:
• Digitale handtekeningen.
• Zeehonden.
• Digitale certificaten.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.20

ISO 27701 Clausule 6.15.1.3 (Bescherming van gegevens) en EU AVG Artikel 5 (2)

Organisaties moeten recordbeheer overwegen op vier belangrijke gebieden:

1. Authenticiteit.
2. Betrouwbaarheid.
3. Integriteit.
4. Bruikbaarheid.

Om een ​​functioneel archiefsysteem te onderhouden dat PII en privacygerelateerde informatie beschermt, moeten organisaties:

• Publiceer richtlijnen die betrekking hebben op:
• Storage.
• Afhandeling (keten van bewaring).
• Beschikbaarheid.
• Het voorkomen van manipulatie.
• Geef aan hoe lang elk recordtype moet worden bewaard.
• Houd u aan alle wetten die te maken hebben met het bijhouden van gegevens.
• Voldoe aan de verwachtingen van klanten over de manier waarop organisaties met hun administratie moeten omgaan.
• Vernietig documenten zodra ze niet langer nodig zijn.
• Classificeer records op basis van hun beveiligingsrisico, bijvoorbeeld:
• Accounting.
• Zakelijke transacties.
• Personeelsdossiers.
• Juridisch.
• Zorg ervoor dat ze binnen een aanvaardbare termijn gegevens kunnen opvragen, als een derde partij of wetshandhavingsinstantie daarom vraagt.
• Houd u altijd aan de richtlijnen van de fabrikant bij het opslaan of hanteren van gegevens op elektronische mediabronnen.

Mobiele apparaten en telewerken

ISO 27701 clausule 6.3.2.1 (beleid voor mobiele apparaten) en EU AVG artikel 5, lid 1, onder f)

Organisaties moeten onderwerpspecifiek beleid implementeren dat betrekking heeft op verschillende categorieën eindpuntapparaten en softwareversies van mobiele apparaten, en hoe beveiligingscontroles moeten worden afgestemd op het verbeteren van de gegevensbeveiliging.

Bij het mobiele-apparaatbeleid, de procedures en de ondersteunende beveiligingsmaatregelen van een organisatie moet rekening worden gehouden met:

• De verschillende categorieën gegevens die het apparaat zowel kan verwerken als opslaan.
• Hoe apparaten worden geregistreerd en geïdentificeerd op het netwerk.
• Hoe apparaten fysiek worden beschermd.
• Eventuele beperkingen op applicaties en software-installaties.
• Beheer op afstand, inclusief updates en patches.
• Gebruikerstoegangscontroles, inclusief RBAC indien nodig.
• Versleuteling.
• Antimalware-tegenmaatregelen (beheerd of onbeheerd).
• BUDR.
• Browserbeperkingen.
• Gebruikersanalyses (zie ISO 27002 Controle 8.16).
• De installatie, het gebruik en het beheer op afstand van verwijderbare opslagapparaten of verwijderbare randapparatuur.
• Hoe u gegevens op het apparaat kunt scheiden, zodat PII wordt gescheiden van standaard apparaatgegevens (inclusief de persoonlijke gegevens van de gebruiker). Hierbij moet ook worden overwogen of het al dan niet gepast is om welke organisatiegegevens dan ook op het fysieke apparaat op te slaan, in plaats van het apparaat te gebruiken om er online toegang toe te bieden.
• Wat er gebeurt als een apparaat kwijtraakt of wordt gestolen – dat wil zeggen het voldoen aan wettelijke, regelgevende of contractuele vereisten en het omgaan met de verzekeraars van de organisatie.

Individuele verantwoordelijkheid van de gebruiker

Iedereen in de organisatie die externe toegang gebruikt, moet expliciet op de hoogte worden gesteld van het beleid en de procedures voor mobiele apparaten die op hen van toepassing zijn binnen de context van beveiligd eindpuntapparaatbeheer.

Gebruikers moeten de instructie krijgen om:

• Sluit alle actieve werksessies wanneer deze niet langer in gebruik zijn.
• Implementeer fysieke en digitale beveiligingsmaatregelen, zoals vereist door het beleid.
• Houd rekening met hun fysieke omgeving – en de inherente veiligheidsrisico’s die deze met zich meebrengen – wanneer u met behulp van het apparaat toegang krijgt tot beveiligde gegevens.

Breng uw eigen apparaat (BYOD)

Organisaties die toestaan ​​dat personeel persoonlijke apparaten gebruikt, moeten ook rekening houden met de volgende beveiligingsmaatregelen:

• Het installeren van software op het apparaat (inclusief mobiele telefoons) die helpt bij het scheiden van zakelijke en persoonlijke gegevens.
• Het afdwingen van een BYOD-beleid dat het volgende omvat:
• Erkenning van organisatorisch eigendom van PII.
• Fysieke en digitale beschermingsmaatregelen (zie hierboven).
• Verwijdering van gegevens op afstand.
• Alle maatregelen die zorgen voor afstemming op de PII-wetgeving en regelgevingsrichtlijnen.
• IE-rechten, met betrekking tot bedrijfseigendom van alles dat op een persoonlijk apparaat is geproduceerd.
• Organisatorische toegang tot het apparaat – hetzij voor doeleinden van privacybescherming, hetzij om te voldoen aan een intern of extern onderzoek.
• EULA's en softwarelicenties die kunnen worden beïnvloed door het gebruik van commerciële software op een particulier apparaat.

Draadloze configuraties

Bij het opstellen van procedures die betrekking hebben op draadloze connectiviteit op eindpuntapparaten moeten organisaties:

• Overweeg zorgvuldig hoe dergelijke apparaten verbinding moeten kunnen maken met draadloze netwerken voor internettoegang, met het oog op de bescherming van PII.
• Zorg ervoor dat draadloze verbindingen voldoende capaciteit hebben om back-ups of andere onderwerpspecifieke functies mogelijk te maken.

Ondersteuning van ISO 27002-controles

• ISO 27002 8.9 – Configuratiebeheer
• ISO 27002 8.16 – Monitoringactiviteiten

Asset Management

ISO 27701 Clausule 6.5.2.1 (Classificatie van informatie) en EU AVG Artikel 5 (1)(f)

In plaats van alle informatie op gelijke voet te plaatsen, moeten organisaties informatie op een onderwerpspecifieke basis classificeren.

Informatie-eigenaren moeten bij het classificeren van gegevens (vooral met betrekking tot PII) rekening houden met vier sleutelfactoren, die periodiek moeten worden beoordeeld, of wanneer dergelijke factoren veranderen:

1. De vertrouwelijkheid van de gegevens.
2. De integriteit van de gegevens.
3. Data beschikbaarheid levels.
4. Die van de organisatie wettelijke verplichtingen richting PII.

Om een ​​duidelijk operationeel raamwerk te bieden, moeten informatiecategorieën worden benoemd in overeenstemming met het inherente risiconiveau, mochten zich incidenten voordoen die een van de bovengenoemde factoren in gevaar brengen.

Om platformonafhankelijke compatibiliteit te garanderen, moeten organisaties hun informatiecategorieën beschikbaar stellen aan al het externe personeel met wie zij informatie delen, en ervoor zorgen dat het eigen classificatieschema van de organisatie breed wordt begrepen door alle relevante partijen.

Organisaties moeten op hun hoede zijn voor het onderclassificeren of, omgekeerd, voor het overclassificeren van gegevens. Het eerste kan leiden tot fouten bij het groeperen van PII met minder gevoelige gegevenstypen, terwijl het eerste vaak leidt tot extra kosten, een grotere kans op menselijke fouten en verwerkingsafwijkingen.

ISO 27701 clausule 6.5.2.2 (Etikettering van informatie) en EU AVG artikel 5, lid 1, onder f)

Labels zijn een belangrijk onderdeel om ervoor te zorgen dat het PII-classificatiebeleid van de organisatie (zie hierboven) wordt nageleefd en dat gegevens duidelijk kunnen worden geïdentificeerd in overeenstemming met de gevoeligheid ervan (bijvoorbeeld dat PII wordt gelabeld als verschillend van minder vertrouwelijke gegevenstypen).

PII-etiketteringsprocedures moeten het volgende definiëren:

• Elk scenario waarin etikettering niet vereist is (openbaar beschikbare gegevens).
• Instructies over hoe personeel zowel digitale als fysieke activa en opslaglocaties moet labelen.
• Noodplannen voor elk scenario waarin labelen fysiek niet mogelijk is.

ISO biedt organisaties volop mogelijkheden om hun eigen etiketteringstechnieken te kiezen, waaronder:

• fysiek etikettering.
• elektronisch labels in kop- en voetteksten.
• De toevoeging of wijziging van metadata, inclusief doorzoekbare termen en interactieve functionaliteit met andere informatiebeheerplatforms (bijvoorbeeld het PIMS van de organisatie).
• watermerken dat een duidelijke indicatie geeft van de gegevensclassificatie per document.
• Uitstansen markeringen op fysieke kopieën van informatie.

ISO 27701 Clausule 6.5.3.1 (Beheer van verwijderbare media) en EU AVG Artikel 5 (1)(f)

Verwisselbare opslagmedia

Bij het ontwikkelen van beleid dat de omgang regelt met media-items die betrokken zijn bij het opslaan van PII, moeten organisaties:

• Ontwikkel uniek onderwerpspecifiek beleid op basis van afdelings- of functiegerelateerde vereisten.
• Zorg ervoor dat de juiste autorisatie wordt aangevraagd en verleend voordat personeel opslagmedia uit het netwerk kan verwijderen (inclusief het bijhouden van een nauwkeurige en actuele registratie van dergelijke activiteiten).
• Bewaar media in overeenstemming met de specificaties van de fabrikant, vrij van omgevingsschade.
• Overweeg het gebruik van encryptie als voorwaarde voor toegang, of, waar dit niet mogelijk is, het implementeren van aanvullende fysieke beveiligingsmaatregelen.
• Minimaliseer het risico dat PII beschadigd raakt door, indien nodig, informatie tussen opslagmedia over te dragen.
• Introduceer PII-redundantie door beschermde informatie tegelijkertijd op meerdere assets op te slaan.
• Sta het gebruik van opslagmedia op goedgekeurde ingangen (dwz SD-kaarten en USB-poorten) alleen per asset toe.
• Houd nauwlettend toezicht op de overdracht van PII naar opslagmedia, voor welk doel dan ook.
• Houd rekening met de risico's die inherent zijn aan de fysieke overdracht van opslagmedia (en bij volmacht de PII die erop staat) bij het verplaatsen van activa tussen personeel of gebouwen (zie ISO 27002 Controle 5.14).

Hergebruik en verwijdering

Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten robuuste procedures worden ingevoerd om ervoor te zorgen dat PII op geen enkele manier wordt beïnvloed, waaronder:

1. Het formatteren van de opslagmedia en ervoor zorgen dat alle PII wordt verwijderd vóór hergebruik (zie ISO 27002 Controle 8.10), inclusief het bijhouden van adequate documentatie van al dergelijke activiteiten.
2. Het veilig verwijderen van alle media die de organisatie niet meer kan gebruiken en die zijn gebruikt om PII op te slaan.
3. Als de verwijdering de betrokkenheid van een derde partij vereist, moeten organisaties er goed op letten dat zij een geschikte partner zijn om dergelijke taken uit te voeren, in overeenstemming met de verantwoordelijkheid van de organisatie ten aanzien van PII en privacybescherming.
4. Implementatie van procedures die identificeren welke opslagmedia beschikbaar zijn voor hergebruik, of dienovereenkomstig kunnen worden weggegooid.

Als apparaten die zijn gebruikt om PII op te slaan beschadigd raken, moet de organisatie zorgvuldig overwegen of het al dan niet passender is om dergelijke media te vernietigen of ter reparatie op te sturen (dwalen aan de kant van het eerste).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.14

ISO 27701 Clausule 6.5.3.2 (Verwijdering van media) en EU AVG Artikel 5, lid 1, onder f)

Bekijk ISO 27701 Clausule 6.5.3.1

Aanvullende PII-gerelateerde richtlijnen

Als media de eerder bewaarde PII willen verwijderen, moeten organisaties procedures implementeren die de vernietiging van PII en privacygerelateerde gegevens documenteren, inclusief categorische garanties dat deze niet langer beschikbaar zijn.

ISO 27701 Clausule 6.5.3.3 en EU AVG 5 (1)(f)

Verwisselbare opslagmedia

Bij het implementeren van beleid dat betrekking heeft op verwijderbare media moeten organisaties:

• Ontwikkel procedures die tegemoetkomen aan afdelings- of functiegerelateerde vereisten.
• Zorg ervoor dat de juiste autorisatie wordt verkregen voordat media uit het bedrijfsnetwerk worden verwijderd.
• Zorg ervoor dat de richtlijnen van de fabrikant strikt worden nageleefd bij het gebruik van welk opslagapparaat dan ook.
• Overweeg het gebruik van cryptografische opslagtechnologie.
• Neem stappen om ervoor te zorgen dat gegevens tijdens geen enkel overdrachtsproces beschadigd raken.
• Verhoog de redundantie door informatie over meerdere assets tegelijkertijd op te slaan.
• Keur het gebruik van opslagmedia (dwz SD-kaarten en USB-poorten) per asset goed.
• Begrijp en beperk de risico's die inherent zijn aan het verplaatsen van media en activa tussen personeel en locaties (zie ISO 27002 Controle 5.14).

Organisaties moeten een grondige registratie bijhouden van alle opslagmedia die worden gebruikt om gevoelige informatie te verwerken, waaronder:

• Het type medium dat moet worden verzonden (HDD, USB, SD-kaart enz.).
• Alle geautoriseerde afzenders en al het interne personeel dat media mag ontvangen.
• De datum en tijd van overdracht.
• Hoeveel media moet worden overgedragen.

Hergebruik en verwijdering

Gedurende het hele proces van herbestemming, hergebruik of verwijdering van opslagmedia moeten organisaties:

• Zorg ervoor dat alle media correct zijn geformatteerd en dat al dergelijke activiteiten grondig zijn gedocumenteerd (zie ISO 27002 Control 8.10).
• Zorg ervoor dat, wanneer opslagmiddelen niet langer nodig zijn, deze op een veilige manier worden verwijderd – inclusief een grondige controle van eventuele derde partijen die betrokken zijn bij verwijderingsactiviteiten, om ervoor te zorgen dat de organisatie haar taken met betrekking tot de verwerking van PII vervult.
• Identificeer welke media geschikt zijn voor hergebruik of moeten worden weggegooid, vooral wanneer apparaten op welke manier dan ook beschadigd zijn geraakt of fysiek in gevaar zijn gebracht.

Access Controle

ISO 27701 Clausule 6.6.2.1 (Gebruikersregistratie en uitschrijving) en EU AVG 5 (1)(f)

Gebruikersregistratie wordt beheerst door het gebruik van toegewezen 'identiteiten'. Identiteiten bieden organisaties een raamwerk om de toegang van gebruikers tot PII en privacygerelateerde activa en materiaal te regelen, binnen de grenzen van een netwerk.

Organisaties moeten zes belangrijke richtlijnen volgen om ervoor te zorgen dat identiteiten correct worden beheerd en dat PII wordt beschermd, waar deze ook wordt opgeslagen, verwerkt of geopend:

1. Wanneer identiteiten worden toegewezen aan een mens, mag alleen die persoon zich authenticeren met die identiteit en/of deze gebruiken bij toegang tot PII.
2. Gedeelde identiteiten – meerdere personen geregistreerd onder dezelfde identiteit – mogen alleen worden ingezet om aan een unieke reeks operationele vereisten te voldoen.
3. Niet-menselijke entiteiten moeten anders worden beschouwd en beheerd dan op gebruikers gebaseerde identiteiten die toegang hebben tot PII en privacygerelateerd materiaal.
4. Identiteiten moeten worden verwijderd zodra ze niet langer nodig zijn, vooral identiteiten met toegang tot PII of op privacy gebaseerde rollen.
5. Organisaties moeten zich houden aan de regel ‘één entiteit, één identiteit’ bij het distribueren van identiteiten over het netwerk.
6. Registraties moeten worden geregistreerd en vastgelegd via duidelijke documentatie, inclusief tijdstempels, toegangsniveaus en identiteitsinformatie.

Organisaties die samenwerken met externe organisaties (met name cloudgebaseerde platforms) moeten de inherente risico's begrijpen die aan dergelijke praktijken zijn verbonden, en stappen ondernemen om ervoor te zorgen dat PII tijdens het proces niet nadelig wordt beïnvloed (zie ISO 27002-controles 5.19 en 5.17).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.17
• ISO 27002 5.19

ISO 27701 Clausule 6.6.2.2 (Provisioning van gebruikerstoegang) en EU AVG 5 (1)(f)

'Toegangsrechten' bepalen hoe toegang tot PII en privacygerelateerde informatie zowel wordt verleend als ingetrokken, waarbij dezelfde reeks leidende beginselen wordt gebruikt.

Toegangsrechten verlenen en intrekken

Toegangsprocedures moeten het volgende omvatten:

• Toestemming en autorisatie van de eigenaar (of het management) van de informatie of asset (zie ISO 27002 Controle 5.9).
• Eventuele heersende commerciële, wettelijke of operationele vereisten.
• Een erkenning van de noodzaak om taken te scheiden, om de beveiliging van PII te verbeteren en een veerkrachtiger privacybeschermingsoperatie op te bouwen.
• Controles om toegangsrechten in te trekken, wanneer toegang niet langer vereist is (verlaters etc.).
• Tijdentoegangsmaatregelen voor tijdelijk personeel of aannemers.
• Een gecentraliseerd overzicht van de toegangsrechten die zijn verleend aan zowel menselijke als niet-menselijke entiteiten.
• Maatregelen om de toegangsrechten te wijzigen van personeel of externe contractanten die van functie zijn veranderd.

Toegangsrechten beoordelen

Organisaties moeten periodieke beoordelingen uitvoeren van de toegangsrechten binnen het netwerk, waaronder:

• Intrekking van toegangsrechten inbouwen in HR-offboardingprocedures (zie ISO 27002 Controles 6.1 en 6.5) en workflows voor rolverandering.
• Verzoeken om 'bevoorrechte' toegangsrechten.

Verandermanagement en vertrekkers

Van personeel dat de organisatie verlaat (opzettelijk of als ontslagen werknemer) en van degenen die het onderwerp zijn van een wijzigingsverzoek, moeten hun toegangsrechten worden aangepast op basis van robuuste risicobeheerprocedures, waaronder:

• De bron van de wijziging/beëindiging, inclusief de onderliggende reden.
• De huidige functie van de gebruiker en de bijbehorende verantwoordelijkheden.
• De informatie en middelen die momenteel toegankelijk zijn, inclusief hun risiconiveaus en waarde voor de organisatie.

Aanvullende begeleiding

Arbeidsovereenkomsten en contracten voor contractanten/diensten moeten een uitleg bevatten van wat er gebeurt na pogingen tot ongeoorloofde toegang (zie ISO 27002 Controles 5.20, 6.2, 6.4, 6.6).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

ISO 27701 Clausule 6.6.4.2 (Veilige aanmeldingsprocedures) en EU AVG 5 (1)(f)

PII en privacygerelateerde activa moeten worden opgeslagen op een netwerk dat over een reeks authenticatiecontroles beschikt, waaronder:

• Multi-factor authenticatie (MFA).
• Digitale certificaten.
• Smartcards/sleutelhangers.
• Biometrische verificatie.
• Veilige tokens.

Om het risico van ongeautoriseerde toegang tot PII te voorkomen en te minimaliseren, moeten organisaties:

1. Voorkom de weergave van PII op een monitor of eindpuntapparaat, totdat een gebruiker succesvol is geverifieerd.
2. Geef potentiële gebruikers een duidelijke waarschuwing – voordat er wordt ingelogd – waarin de gevoelige aard wordt uiteengezet van de gegevens waartoe ze toegang willen krijgen.
3. Wees op uw hoede met het bieden van te veel hulp tijdens het authenticatieproces (dwz uitleggen welk deel van een mislukte inlogpoging ongeldig is).
4. Implementeer best practice beveiligingsmaatregelen, waaronder:
• CAPTCHA-technologie.
• Het forceren van wachtwoordresets en/of het tijdelijk voorkomen van aanmeldingen na verschillende mislukte pogingen.
5. Registreer mislukte inlogpogingen voor verdere analyse en/of verspreiding onder wetshandhavingsinstanties.
6. Start een beveiligingsincident wanneer er een groot verschil in aanmeldingsgegevens wordt gedetecteerd, of de organisatie een authenticatieafwijking ontdekt die mogelijk van invloed is op PII.
7. Stuur authenticatielogboeken (met de laatste aanmeldingspoging en mislukte aanmeldingsgegevens) door naar een afzonderlijke gegevensbron.
8. Voer alleen wachtwoordgegevens uit als abstracte symbolen), tenzij de gebruiker problemen heeft met toegankelijkheid/zicht.
9. Voorkom het delen van alle authenticatiegegevens.
10. Maak een einde aan sluimerende inlogsessies, vooral wanneer PII wordt gebruikt in externe werkomgevingen of op BYOD-middelen.
11. Stel een tijdslimiet in voor geauthenticeerde sessies, vooral voor sessies die actief toegang hebben tot PII.

Fysieke en omgevingsbeveiliging

ISO 27701 Clausule 6.8.2.7 (Veilige verwijdering of hergebruik van apparatuur) en EU AVG 5 (1)(f)

PII en privacygerelateerde informatie loopt vooral gevaar wanneer de noodzaak zich voordoet om opslag- en verwerkingsmiddelen te verwijderen of opnieuw te gebruiken – hetzij intern, hetzij in samenwerking met een gespecialiseerde externe leverancier.

Bovenal moeten organisaties ervoor zorgen dat alle opslagmedia die zijn gemarkeerd voor verwijdering en die PII bevatten, dat ook moeten zijn fysiek vernietigd, veegde or overschreven (zie ISO 27002 Controle 7.10 en 8.10).

Om te voorkomen dat PII op enigerlei wijze in gevaar komt, moeten organisaties bij het weggooien of hergebruiken van activa:

• Zorg ervoor dat alle labels indien nodig worden verwijderd of aangepast, vooral de labels die de aanwezigheid van PII aangeven.
• Verwijder alle fysieke en logische beveiligingscontroles bij het buiten gebruik stellen van faciliteiten of het verplaatsen van gebouwen, met de bedoeling deze op een nieuwe locatie te hergebruiken.

Ondersteuning van ISO 27002-controles

• ISO 27002 7.10
• ISO 27002 8.10

ISO 27701 Clausule 6.8.2.9 (Clear desk en clear screen-beleid) en EU AVG 5 (1)(f)

PII en privacygerelateerde informatie loopt vooral gevaar wanneer onzorgvuldig personeel en externe contractanten zich niet houden aan veiligheidsmaatregelen op de werkplek die bescherming bieden tegen het per ongeluk of opzettelijk bekijken van PII door onbevoegd personeel.

Organisaties moeten een onderwerpspecifiek clear desk- en clear screen-beleid opstellen (indien nodig per werkplek) dat het volgende omvat:

• Verbergen voor het gewone zicht, vergrendelen of veilig opslaan van PII en privacygerelateerde informatie, wanneer dergelijk gegevensmateriaal niet vereist is.
• Fysieke vergrendelingsmechanismen op ICT-middelen.
• Digitale toegangscontroles – zoals displaytime-outs, met een wachtwoord beveiligde schermbeveiligingen en automatische uitlogmogelijkheden.
• Veilig printen en onmiddellijke documentverzameling.
• Veilige, afgesloten opslag van gevoelige documentatie en correcte verwijdering van dergelijk materiaal wanneer het niet langer nodig is (vernietiging, verwijdering door derden enz.).
• Houd rekening met berichtvoorbeelden (e-mail, sms, agendaherinneringen) die toegang kunnen bieden tot gevoelige gegevens; wanneer een scherm wordt gedeeld of bekeken op een openbare plaats.
• Het verwijderen van gevoelige informatie op fysieke displays (bijv. whiteboards en mededelingenborden) wanneer deze niet langer nodig is.

Wanneer organisaties collectief gebouwen verlaten – zoals tijdens een kantoorverhuizing of soortgelijke verhuizing – moeten er inspanningen worden geleverd om ervoor te zorgen dat er geen documentatie achterblijft, noch in bureaus en archiefsystemen, noch op onduidelijke plekken.

Operationele beveiliging

ISO 27701 Clausule 6.9.3.1 (Back-up van informatie) en EU AVG 5 (1)(f)

Organisaties moeten onderwerpspecifiek beleid opstellen dat rechtstreeks ingaat op de manier waarop de organisatie een back-up maakt van de relevante gebieden van haar netwerk om PII te beschermen en de veerkracht tegen privacygerelateerde incidenten te verbeteren.

BUDR-procedures moeten worden opgesteld om het primaire doel te bereiken: dit te garanderen allen bedrijfskritische gegevens, software en systemen kunnen hierna worden hersteld Data Loss, indringing, zakelijke onderbreking en kritische mislukkingen.

Prioritair moeten BUDR-plannen:

• Geef een overzicht van de herstelprocedures die alle kritieke systemen en services bestrijken.
• In staat zijn om werkbare kopieën te maken van alle systemen, gegevens of applicaties die deel uitmaken van een back-uptaak.
• Voldoen aan de commerciële en operationele eisen van de organisatie (zie ISO 27002 Controle 5.30).
• Bewaar back-ups op een tegen de omgeving beschermde locatie die fysiek gescheiden is van de brongegevens (zie ISO 27002 Controle 8.1).
• Test en evalueer regelmatig back-uptaken aan de hand van de door de organisatie voorgeschreven hersteltijden, om de beschikbaarheid van gegevens te garanderen.
• Versleutel alle PII-gerelateerde back-upgegevens.
• Controleer nogmaals of er gegevens verloren zijn gegaan voordat u een back-uptaak ​​uitvoert.
• Hanteer een rapportagesysteem dat het personeel op de hoogte stelt van de status van back-uptaken.
• Probeer gegevens van cloudgebaseerde platforms die niet rechtstreeks door de organisatie worden beheerd, op te nemen in interne back-uptaken.
• Bewaar back-ups in overeenstemming met een passend PII-bewaarbeleid (zie ISO 27002 Controle 8.10).

Aanvullende Pii-specifieke richtlijnen

Organisaties moeten afzonderlijke procedures ontwikkelen die uitsluitend betrekking hebben op PII (ook al zijn deze opgenomen in hun hoofd-BUDR-plan).

Wanneer er een nieuwe baan wordt gecreëerd, banen worden gewijzigd of nieuwe PII-gegevens aan de BUDR-routine worden toegevoegd, moet rekening worden gehouden met regionale verschillen in de PII-BUDR-standaarden (contractueel, juridisch en regelgevend).

Wanneer de noodzaak zich voordoet om PII te herstellen na een BUDR-incident, moeten organisaties er goed op letten de PII in de oorspronkelijke staat terug te brengen en de herstelactiviteiten bekijken om eventuele problemen met de nieuwe gegevens op te lossen.

Organisaties moeten een logboek bijhouden van herstelactiviteiten, inclusief personeel dat betrokken is bij het herstel, en een beschrijving van de PII die is hersteld.

Organisaties moeten contact opnemen met wetgevende of regelgevende instanties en ervoor zorgen dat hun procedures voor het herstellen van PII in lijn zijn met wat er van hen wordt verwacht als PII-verwerker en -controleur.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Clausule 6.9.4.1 (Gebeurtenisregistratie) en EU AVG 5 (1)(f)

ISO definieert een 'gebeurtenis' als elke actie die wordt uitgevoerd door een digitale of fysieke aanwezigheid/entiteit op een computersysteem.

Gebeurtenislogboeken moeten het volgende bevatten:

• Een gebruikers-ID – Wie of welk account de acties heeft uitgevoerd.
• Een registratie van systeemactiviteit.
• Tijdstempels.
• Apparaat- en systeem-ID's en de locatie van de gebeurtenis.
• IP-adresinformatie.

Gebeurtenistypes

ISO identificeert 11 gebeurtenissen/componenten die moeten worden geregistreerd (en gekoppeld aan dezelfde tijdbron – zie ISO 27002 Controle 8.17), om de PII-beveiliging te behouden en de privacybescherming van de organisatie te verbeteren:

1. Pogingen tot systeemtoegang.
2. Pogingen tot gegevenstoegang.
3. Pogingen tot toegang tot bronnen.
4. Wijzigingen in de besturingssysteemconfiguratie.
5. Verhoogde privileges.
6. Nutsprogramma's en onderhoudsfaciliteiten (zie ISO 27002 Control 8.18).
7. Verzoeken om toegang tot bestanden en wat er is gebeurd (verwijdering, migratie enz.).
8. Kritieke interrupties.
9. Activiteiten rondom beveiligings-/antimalwaresystemen.
10. Werkzaamheden op het gebied van identiteitsbeheer (bijv. toevoegingen en verwijderingen van gebruikers).
11. Geselecteerde activiteiten voor sollicitatiesessies.

Logboekbescherming

Logboeken moeten worden beschermd tegen ongeoorloofde wijzigingen of operationele afwijkingen, waaronder:

• Wijzigingen in berichttype.
• Verwijderen of bewerken.
• Overschrijven vanwege opslagproblemen.

Organisaties moeten zich bezighouden met de volgende technieken om de op logbestanden gebaseerde beveiliging te verbeteren:

• Cryptografische hashing.
• Alleen-toevoegen-opname.
• Alleen-lezen opname.
• Gebruik van openbare transparantiebestanden.

Wanneer de noodzaak zich voordoet om logbestanden aan externe organisaties te verstrekken, moeten strikte maatregelen worden genomen om PII en privacygerelateerde informatie te beschermen, in overeenstemming met geaccepteerde normen voor gegevensprivacy (zie ISO 27002 Control 5.34 en aanvullende richtlijnen hieronder).

Logboekanalyse

Logboeken zullen van tijd tot tijd moeten worden geanalyseerd om de privacybescherming in het algemeen te verbeteren en om beveiligingsinbreuken op te lossen en te voorkomen.

Bij het uitvoeren van loganalyses moeten organisaties rekening houden met:

• De expertise van het personeel dat de analyse uitvoert.
• De type dan: , categorie en attribuut van elk evenementtype.
• Eventuele uitzonderingen die worden toegepast via netwerkregels die afkomstig zijn van hardware en platforms voor beveiligingssoftware.
• Afwijkend netwerkverkeer.
• Gespecialiseerde data-analyse.
• Beschikbare dreigingsinformatie (intern of van een vertrouwde externe bron).

Logboekbewaking

Logmonitoring biedt organisaties de kans om PII bij de bron te beschermen en een proactieve benadering van privacybescherming te bevorderen.

Organisaties moeten:

1. Beoordeel interne en externe pogingen om toegang te krijgen tot beveiligde bronnen.
2. Analyseer DNS-logboeken (en gegevensgebruiksrapporten) om verkeer van en naar kwaadaardige bronnen te identificeren.
3. Verzamel logboeken van fysieke toegangspunten en fysieke perimeterbeveiligingsapparatuur (toegangssystemen enz.).

Aanvullende PII-gerelateerde richtlijnen

ISO vereist dat organisaties logbestanden met betrekking tot PII monitoren via een 'continu en geautomatiseerd monitoring- en waarschuwingsproces'. Hiervoor kan een aparte reeks procedures nodig zijn die de toegang tot PII monitoren.

Organisaties moeten ervoor zorgen dat logboeken – als prioriteit – een duidelijk verslag geven van de toegang tot PII, waaronder:

• Wie heeft toegang gekregen tot de gegevens.
• Wanneer de gegevens werden geopend.
• Van welke opdrachtgever de PII is geopend.
• Eventuele wijzigingen die zijn aangebracht.

Organisaties moeten beslissen'of, wanneer en hoe' PII-logboekinformatie moet beschikbaar worden gesteld aan klanten, waarbij alle criteria vrij beschikbaar moeten worden gesteld aan de opdrachtgevers zelf en er moet grote zorg worden besteed om ervoor te zorgen dat PII-opdrachtgevers alleen toegang kunnen krijgen tot informatie die op hen betrekking heeft.

Ondersteuning van ISO 27002-controles

• ISO 27002 5.34
• ISO 27002 8.11
• ISO 27002 8.17
• ISO 27002 8.18

ISO 27701 Clausule 6.9.4.2 (Bescherming van loginformatie) en EU AVG 5 (1)(f)

Zie ISO 27701 clausule 6.9.4.1

Aanvullende PII-gerelateerde richtlijnen

Organisaties moeten veel aandacht besteden aan het waarborgen dat logbestanden die PII bevatten op de juiste manier worden beheerd en profiteren van veilige monitoring.

Er moeten geautomatiseerde procedures worden ingevoerd die logbestanden verwijderen of 'de-identificeren', in overeenstemming met een gepubliceerd bewaarbeleid (zie ISO 27002 Controle 7.4.7).

Richtlijnen voor PII-controleurs

ISO 27701 Clausule 7.2.1 (Identificeer en documenteer doel) en EU AVG 5 (1)(b)

PII-opdrachtgevers moeten volledig op de hoogte zijn van alle verschillende redenen waarom hun PII wordt verwerkt.

Het is de verantwoordelijkheid van de organisatie om deze redenen aan PII-opdrachtgevers over te brengen, samen met een 'duidelijke verklaring' over waarom zij hun informatie moeten verwerken.

Alle documentatie moet duidelijk, alomvattend en gemakkelijk te begrijpen zijn voor elke PII-opdrachtgever die deze leest – inclusief alles wat met toestemming te maken heeft, evenals kopieën van interne procedures (zie ISO 27701-clausules 7.2.3, 7.3.2 en 7.2.8).

Ondersteunende ISO 27701-clausules

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Clausule 7.2.2 (Identificeer wettelijke basis) en EU AVG 5 (1)(a)

Om een ​​wettelijke basis te vormen voor de verwerking van PII moeten organisaties:

• Vraag toestemming aan PII-opdrachtgevers.
• Stel een contract op.
• Voldoen aan diverse andere wettelijke verplichtingen.
• Bescherm de 'vitale belangen' van de verschillende PII-opdrachtgevers.
• Zorg ervoor dat de taken die worden uitgevoerd in het algemeen belang zijn.
• Bevestig dat de verwerking van PII een legitiem belang is.

Voor elk hierboven genoemd punt moeten organisaties gedocumenteerde bevestiging kunnen bieden

Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).

Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.2.8

ISO 27701 Clausule 7.2.6 (Contracten met PII-verwerkers) en EU AVG 5 (2)

Organisaties moeten schriftelijke, bindende contracten aangaan met elke externe PII-verwerker waarvan zij gebruik maken.

Eventuele contracten moeten ervoor zorgen dat de PII-verwerker alle vereiste informatie in ISO 27701 bijlage B implementeert, met bijzondere aandacht voor risicobeoordelingscontroles (ISO 27701 clausule 5.4.1.2) en de algehele reikwijdte van de verwerkingsactiviteiten (zie ISO 27701 clausule 6.12). ).

Organisaties moeten het weglaten van de controles in bijlage B kunnen rechtvaardigen in hun relatie met de PII-verwerker (zie ISO 27701 paragraaf 5.4.1.3).

ISO 27701 Clausule 7.2.8 (Records gerelateerd aan de verwerking van PII) en EU AVG 5 (2)

Organisaties moeten een grondige set documenten bijhouden die hun acties en verplichtingen als PII-verwerker ondersteunen.

Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:

• Operationeel – het specifieke type PII-verwerking dat wordt uitgevoerd.
• Rechtvaardigingen – waarom de PII wordt verwerkt.
• Categorisch – lijsten met PII-ontvangers, inclusief internationale organisaties.
• Beveiliging – een overzicht van hoe PII wordt beschermd.
• Privacy – dat wil zeggen een rapport over de impact op de privacy.

ISO 27701 Clausule 7.3.6 (Toegang, correctie en/of verwijdering) en EU AVG 5 (1)(d)

Organisaties moeten procedures opstellen, documenteren en implementeren waarmee PII-opdrachtgevers toegang kunnen krijgen tot hun PII, deze kunnen corrigeren en/of verwijderen.

Procedures moeten mechanismen omvatten waarmee de PII-opdrachtgever de bovenstaande actie kan uitvoeren, inclusief de manier waarop de organisatie de opdrachtgever moet informeren als er geen correcties kunnen worden aangebracht.

Organisaties moeten zich verplichten tot een gepubliceerde reactietijd voor alle verzoeken om toegang, correctie of verwijdering.

Het is van cruciaal belang om dergelijke verzoeken door te geven aan derden aan wie PII is overgedragen (zie ISO 27701, clausule 7.3.7).

De mogelijkheid van een PII-opdrachtgever om correcties of verwijderingen aan te vragen, wordt bepaald door het rechtsgebied waarin de organisatie actief is. Als zodanig moeten bedrijven zichzelf op de hoogte houden van eventuele wijzigingen in de wet- of regelgeving die van toepassing zijn op hun verplichtingen ten aanzien van PII.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.3.7

Privacy door ontwerp en privacy door standaard

ISO 27701 Clausule 7.4.1 (Limietverzameling) en EU AVG 5 (1)(b) en (1)(c)

Organisaties moeten het verzamelen van PII beperken op basis van drie factoren:

1. Relevantie.
2. Evenredigheid.
3. Noodzaak.

Organisaties mogen PII alleen verzamelen – direct of indirect – in overeenstemming met de bovenstaande factoren, en alleen voor doeleinden die relevant en noodzakelijk zijn voor het aangegeven doel.

Als concept moet 'privacy by default' worden nageleefd, dat wil zeggen dat alle optionele functies standaard moeten worden uitgeschakeld.

ISO 27701 Clausule 7.4.3 (Nauwkeurigheid en kwaliteit) en EU AVG 5 (1)(d)

Organisaties moeten stappen ondernemen om ervoor te zorgen dat PII gedurende de gehele levenscyclus accuraat, volledig en up-to-date is.

Het informatiebeveiligingsbeleid en de technische configuraties van de organisatie moeten stappen bevatten die tot doel hebben fouten tijdens de PII-verwerking tot een minimum te beperken, inclusief controles over hoe te reageren op onnauwkeurigheden.

ISO 27701 Clausule 7.4.4 (PII Minimalisatiedoelstellingen) en EU AVG 5 (1)(c) en (1)(e)

Organisaties moeten procedures voor ‘dataminimalisatie’ ontwikkelen, inclusief mechanismen zoals de-identificatie.

Er moet gebruik worden gemaakt van gegevensminimalisatie om ervoor te zorgen dat het verzamelen en verwerken van PII beperkt blijft tot het 'geïdentificeerde doel' van elke functie (zie ISO 27701, clausule 7.2.1).

Een groot deel van dit proces omvat het documenteren van de mate waarin de informatie van een PII-opdrachtgever rechtstreeks aan hem moet worden toegeschreven, en hoe minimalisering moet worden bereikt via een verscheidenheid aan beschikbare methoden.

Organisaties moeten de specifieke technieken schetsen die worden gebruikt om PII-opdrachtgevers te de-identificeren, zoals:

1. Randomisatie.
2. Lawaai toevoeging.
3. Generalisatie.
4. Verwijdering van kenmerken.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.2.1

ISO 27701 Clausule 7.4.5 (PII-anonimisering en verwijdering aan het einde van de verwerking) en EU AVG 5 (1)(c) en (1)(e)

Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.

Zodra de organisatie heeft vastgesteld dat de PII in de toekomst op geen enkel moment hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.

ISO 27701 Clausule 7.4.6 (Tijdelijke bestanden) en EU AVG 5 (1)(c)

Tijdelijke bestanden worden om een ​​aantal technische redenen aangemaakt, gedurende de hele levenscyclus van de verwerking en verzameling van PII, in talloze applicaties, systemen en beveiligingsplatforms.

Organisaties moeten ervoor zorgen dat deze bestanden binnen een redelijke termijn worden vernietigd, in overeenstemming met een officieel bewaarbeleid.

Een eenvoudige manier om het bestaan ​​van dergelijke bestanden te identificeren, is door periodieke controles van tijdelijke bestanden in het netwerk uit te voeren. Tijdelijke bestanden bevatten vaak:

• Database-updatebestanden.
• Gecachte informatie.
• Bestanden gemaakt door applicaties en op maat gemaakte softwarepakketten.

Organisaties moeten zich houden aan een zogenaamde procedure voor het ophalen van afval waarmee tijdelijke bestanden worden verwijderd wanneer ze niet langer nodig zijn.

ISO 27701 Clausule 7.4.8 (Verwijdering) en EU AVG 5 (1)(f)

Organisaties moeten duidelijke beleidslijnen en procedures hebben die bepalen hoe PII wordt verwijderd.

Het verwijderen van gegevens is een veelomvattend onderwerp dat een groot aantal verschillende variabelen omvat, gebaseerd op de vereiste verwijderingstechniek en de aard van de gegevens die worden verwijderd.

Organisaties moeten rekening houden met:

• Wat de PII omvat.
• Eventuele resterende metadata die naast de hoofdgegevens moeten worden gewist.
• Het type opslagmedium waarop de PII wordt bewaard.

ISO 27701 Clausule 7.4.9 (PII-transmissiecontroles) en EU AVG 5 (1)(f)

Elke PII die wordt overgedragen aan een externe organisatie moet met de grootst mogelijke zorg gebeuren voor de verzonden informatie en met behulp van veilige middelen.

Organisaties moeten ervoor zorgen dat alleen geautoriseerd personeel toegang heeft tot transmissiesystemen, en doen dit op een manier die gemakkelijk kan worden gecontroleerd, met als enig doel de informatie zonder incidenten daar te krijgen waar deze naartoe moet.

Richtlijnen voor PII-verwerkers

ISO 27701 Clausule 8.2.2 (Organisatiedoeleinden) en EU AVG 5 (1)(a) en (1)(b)

Vanaf het begin mag PII alleen worden verwerkt in overeenstemming met de instructies van de klant.

Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.

Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.

ISO 27701 Clausule 8.4.1 (Tijdelijke bestanden) en EU AVG 5 (1)(c)

Organisaties moeten ervoor zorgen dat tijdelijke bestanden binnen een redelijke termijn worden vernietigd, in overeenstemming met een officieel bewaarbeleid en duidelijke verwijderingsprocedures.

Een eenvoudige manier om het bestaan ​​van dergelijke bestanden te identificeren, is door periodieke controles van tijdelijke bestanden in het netwerk uit te voeren.

Organisaties moeten zich houden aan een zogenaamde procedure voor het ophalen van afval waarmee tijdelijke bestanden worden verwijderd wanneer ze niet langer nodig zijn.

ISO 27701 Clausule 8.4.3 (PII-controles) en EU AVG 5 (1)(f)

Wanneer de noodzaak zich voordoet dat PII via een datanetwerk (inclusief een speciale link) wordt verzonden, moeten organisaties zich druk maken om ervoor te zorgen dat de PII tijdig de juiste ontvangers bereikt.

Bij de overdracht van PII tussen datanetwerken moeten organisaties:

• Zorg ervoor dat alleen geautoriseerde personen de overdracht kunnen uitvoeren.
• Houd u aan gepubliceerde procedures die de overdracht van PII van de organisatie naar een derde partij regelen.
• Bewaar alle auditgegevens.
• Neem transmissievereisten op in het contract van de klant.
• Raadpleeg de klant voordat er een overdracht wordt uitgevoerd, als er geen schriftelijke of contractuele bepalingen bestaan.

Ondersteuning van ISO 27701-clausules en ISO 27002-controles

Hoe ISMS.online helpt

Uw complete AVG-oplossing.

Met een kant-en-klare omgeving die naadloos in uw beheersysteem past, kunt u uw aanpak voor het beschermen van Europese en Britse klantgegevens beschrijven en demonstreren.

Met ISMS.online kunt u direct aan de slag met AVG-compliance en beschermingsniveaus demonstreren die verder gaan dan 'redelijk', en dat allemaal op één veilige, altijd beschikbare locatie.

In combinatie met onze 'Adopt, Adapt, Add'-implementatieaanpak biedt het ISMS.online-platform ingebouwde begeleiding bij elke stap, waardoor u minder moeite hoeft te doen om uw AVG-compliance aan te tonen. Er zullen ook een aantal krachtige tijdbesparende functies voor u beschikbaar zijn.

Meer informatie via het boeken van een korte demo van 30 minuten.