Hur man visar efterlevnad av GDPR artikel 25

Dataskydd genom design och som standard

Boka en demo

ung,kvinnlig,entreprenör,frilansare,arbetar,använder,en,bärbar dator,i,coworking

GDPR Artikel 25 handlar om dataskydd genom design och som standard.

Detta koncept säkerställer att den personuppgiftsansvarige tar hänsyn till en registrerad persons integritet i varje skede av sin verksamhet, och utformar databehandlingsoperationer som sätter GDPR i centrum för en uppsättning mål.

För att uppnå detta måste organisationer först definiera en distinkt uppsättning integritetsmål innan de påbörjar konstruktionen och efterföljande implementeringen av en databehandlingsoperation (eller, genom proxy, en produkt).

GDPR Artikel 25 Lagtext

EU GDPR-version

Dataskydd genom design och som standard

  1. Med hänsyn till teknikens ståndpunkt, kostnaden för genomförandet och behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter som behandlingen innebär, ska den personuppgiftsansvarige, implementera lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, som är utformade för att implementera principer för dataskydd, t.ex. dataminimering, både vid tidpunkten för fastställandet av medlen för bearbetning och vid tidpunkten för själva behandlingen. sätt och för att integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla kraven i denna förordning och skydda de registrerades rättigheter.

  2. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att som standard endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. Sådana åtgärder ska särskilt säkerställa att personuppgifter som standard inte görs tillgängliga utan individens ingripande för ett obestämt antal fysiska personer.

  3. En godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa att kraven i punkterna 1 och 2 i denna artikel uppfylls.

Storbritanniens GDPR-version

Dataskydd genom design och som standard

  1. Med hänsyn till teknikens ståndpunkt, kostnaden för genomförandet och behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter som behandlingen innebär, ska den personuppgiftsansvarige, implementera lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, som är utformade för att implementera principer för dataskydd, t.ex. dataminimering, både vid tidpunkten för fastställandet av medlen för bearbetning och vid tidpunkten för själva behandlingen. sätt och för att integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla kraven i denna förordning och skydda de registrerades rättigheter.

  2. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att som standard endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. Sådana åtgärder ska särskilt säkerställa att personuppgifter som standard inte görs tillgängliga utan individens ingripande för ett obestämt antal fysiska personer.

  3. En godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa att kraven i punkterna 1 och 2 i denna artikel uppfylls.

Hoppa till ämne
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Mark Wightman
Teknisk chef Aluma
100 % av våra användare klarar certifieringen första gången
Boka din demo

Teknisk kommentar

När en organisation bestämmer sig för att skapa en databearbetningsoperation som följer dataskyddet "by design" och "som standard", finns det flera viktiga faktorer att ta hänsyn till:

  • Den tekniska utvecklingen.

  • Genomförandekostnad.

  • Operationens art (sammanhang och syfte).

  • Risker och individens friheter.

  • Omfattning (dvs. var data ska samlas in).

  • Dataminimering.

  • Begreppet "lämpliga" åtgärder.

ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 25 (3)

Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.

Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.

Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.

Detta inkluderar:

  • Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut".

  • Med hänsyn till organisationens unika kravuppsättning avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer.

  • Eventuella administrativa faktorer, inklusive den dagliga driften av företaget.

  • Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.

ISO 27701 klausul 6.10.2.4 (Konfidentialitet eller sekretessavtal) och EU GDPR artikel 25 (1)(f)

Organisationer bör använda sekretessavtal (NDA) och sekretessavtal för att skydda avsiktligt eller oavsiktligt avslöjande av känslig information till obehörig personal.

När organisationer utarbetar, implementerar och upprätthåller sådana avtal bör:

  • Erbjud en definition av den information som ska skyddas.

  • Ange tydligt den förväntade varaktigheten av avtalet.

  • Ange tydligt vilka åtgärder som krävs när ett avtal har sagts upp.

  • Eventuellt ansvar som överenskommits av bekräftade undertecknare.

  • Äganderätt till information (inklusive IP och affärshemligheter).

  • Hur undertecknare får använda informationen.

  • Beskriv tydligt organisationens rätt att övervaka konfidentiell information.

  • Eventuella konsekvenser som kommer att uppstå av bristande efterlevnad.

  • Går regelbundet igenom deras sekretessbehov och anpassar eventuella framtida avtal därefter.

Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDA och sekretessavtal (se ISO 27002 Kontrollerna 5.31, 5.32, 5.33 och 5.34).

Stöder ISO 27002 kontroller

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 klausul 6.11.2.1 (Secure Development Policy) och EU GDPR artikel 25 (1)

Organisationer måste se till att utvecklingens livscykel skapas med integritetsskydd i åtanke.

För att uppnå detta bör organisationer:

  1. Arbeta med separata utvecklings-, test- och utvecklingsmiljöer (se ISO 27002 Kontroll 8.31).

  2. Publicera vägledning om integritetsskydd under hela utvecklingens livscykel, inklusive metoder, kodningsriktlinjer och programmeringsspråk (se ISO 27002 kontroller 8.28, 8.27 och 5.8).

  3. Beskriv säkerhetskraven i specifikations- och designfasen (se ISO 27002 Kontroll 5.8).

  4. Implementera säkerhetskontroller i alla relevanta projekt (se ISO 27002 Kontroll 5.8).

  5. Genomför system- och säkerhetstester, inklusive kodskanningar och penetrationstester (se ISO 27002 Kontroll 5.8).

  6. Erbjud säkra lagringsplatser för all källkod (se ISO 27002 kontroller 8.4 och 8.9).

  7. Utöva stränga versionskontrollprocedurer (se ISO 27002 Kontroll 8.32).

  8. Erbjud personalens integritetsskydd och utbildning i applikationssäkerhet (se ISO 27002 Kontroll 8.28).

  9. Analysera utvecklarens förmåga att lokalisera, mildra och utrota sårbarheter (se ISO 27002 Kontroll 8.28).

  10. Dokumentera eventuella rådande eller framtida licenskrav (se ISO 27002 Kontroll 8.30).

Stöder ISO 27002 kontroller

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

ISO 27701 klausul 6.11.2.5 (Säker utvecklingsmiljö) och EU GDPR artikel 25 (1)

Organisationssystemet bör utformas, dokumenteras, implementeras och underhållas med integritetsskydd i åtanke:

Tekniska principer bör analysera:

  • Ett brett utbud av säkerhetskontroller som krävs för att skydda PII mot specifika och generaliserade hot.

  • Hur välutrustade säkerhetskontroller är för att hantera stora säkerhetshändelser.

  • Riktade kontroller som är distinkta för enskilda affärsprocesser.

  • Var på nätverket och hur säkerhetskontroller bör genomföras.

  • Hur olika kontroller fungerar i harmoni med varandra.

Tekniska principer bör ta hänsyn till:

  1. Arkitektonisk integration.

  2. Tekniska säkerhetsåtgärder (kryptering, IAM, DAM etc.)

  3. Hur väl rustad organisationen är för att implementera och underhålla den valda lösningen.

  4. Riktlinjer för bästa praxis för branschen.

Säker systemteknik bör omfatta:

  • Väletablerade arkitektoniska principer i industristandard.

  • En omfattande designgranskning som lokaliserar sårbarheter och hjälper till att skapa en helhetssyn på efterlevnad.

  • Fullständig avslöjande av alla säkerhetskontroller som inte uppfyller de förväntade kraven.

  • Systemhärdning.

Organisationer bör gå in på en "noll förtroende"-strategi för säkerhet.

Där organisationen lägger ut utvecklingen på entreprenad till tredjepartsorganisationer bör ansträngningar göras för att säkerställa att partnerns säkerhetsprinciper är anpassade till organisationens egna.

Stöder ISO 27002 kontroller

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 klausul 7.4.2 (Limit Processing) och EU GDPR Artikel 25 (2)

Organisationer bör också endast behandla PII om det är relevant, proportionellt och nödvändigt för att uppfylla ett uttalat syfte, inklusive:

  1. Avslöjande.

  2. Lagring.

  3. Tillgänglighet.

Stöder ISO 27701-klausuler och ISO 27002-kontroller

GDPR-artikelISO 27701 klausulISO 27002 kontroller
EU GDPR artikel 25 (3)ISO 27701 5.2.1Ingen
EU GDPR artikel 25 (1)(f)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU GDPR artikel 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU GDPR artikel 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU GDPR artikel 25 (2)ISO 27701 7.4.2Ingen

Hur ISMS.online hjälper

Vi förser dig med en färdigbyggd miljö där du kan beskriva och demonstrera hur du skyddar dina europeiska och brittiska kunders data.

ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt.

Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.

  • ROPA enkelt
  • Bedömningsmallar
  • Ett säkert utrymme för DRR (Data Subject Rights Requests)
  • Överträdelsehantering

Ta reda på mer av boka en kort 30 minuters demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer