GDPR Artikel 25 handlar om dataskydd genom design och som standard.
Detta koncept säkerställer att den personuppgiftsansvarige tar hänsyn till en registrerad persons integritet i varje skede av sin verksamhet, och utformar databehandlingsoperationer som sätter GDPR i centrum för en uppsättning mål.
För att uppnå detta måste organisationer först definiera en distinkt uppsättning integritetsmål innan de påbörjar konstruktionen och efterföljande implementeringen av en databehandlingsoperation (eller, genom proxy, en produkt).
Dataskydd genom design och som standard
- Med hänsyn till teknikens ståndpunkt, kostnaden för genomförandet och behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter som behandlingen innebär, ska den personuppgiftsansvarige, implementera lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, som är utformade för att implementera principer för dataskydd, t.ex. dataminimering, både vid tidpunkten för fastställandet av medlen för bearbetning och vid tidpunkten för själva behandlingen. sätt och för att integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla kraven i denna förordning och skydda de registrerades rättigheter.
- Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att som standard endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. Sådana åtgärder ska särskilt säkerställa att personuppgifter som standard inte görs tillgängliga utan individens ingripande för ett obestämt antal fysiska personer.
- En godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa att kraven i punkterna 1 och 2 i denna artikel uppfylls.
Dataskydd genom design och som standard
- Med hänsyn till teknikens ståndpunkt, kostnaden för genomförandet och behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter som behandlingen innebär, ska den personuppgiftsansvarige, implementera lämpliga tekniska och organisatoriska åtgärder, t.ex. pseudonymisering, som är utformade för att implementera principer för dataskydd, t.ex. dataminimering, både vid tidpunkten för fastställandet av medlen för bearbetning och vid tidpunkten för själva behandlingen. sätt och för att integrera nödvändiga skyddsåtgärder i behandlingen för att uppfylla kraven i denna förordning och skydda de registrerades rättigheter.
- Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att som standard endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller mängden personuppgifter som samlas in, omfattningen av deras behandling, lagringstiden och deras tillgänglighet. Sådana åtgärder ska särskilt säkerställa att personuppgifter som standard inte görs tillgängliga utan individens ingripande för ett obestämt antal fysiska personer.
- En godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa att kraven i punkterna 1 och 2 i denna artikel uppfylls.
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
När en organisation bestämmer sig för att skapa en databearbetningsoperation som följer dataskyddet "by design" och "som standard", finns det flera viktiga faktorer att ta hänsyn till:
Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.
Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.
Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.
Detta inkluderar:
Organisationer bör använda sekretessavtal (NDA) och sekretessavtal för att skydda avsiktligt eller oavsiktligt avslöjande av känslig information till obehörig personal.
När organisationer utarbetar, implementerar och upprätthåller sådana avtal bör:
Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDA och sekretessavtal (se ISO 27002 Kontrollerna 5.31, 5.32, 5.33 och 5.34).
Organisationer måste se till att utvecklingens livscykel skapas med integritetsskydd i åtanke.
För att uppnå detta bör organisationer:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Organisationssystemet bör utformas, dokumenteras, implementeras och underhållas med integritetsskydd i åtanke:
Tekniska principer bör analysera:
Tekniska principer bör ta hänsyn till:
Säker systemteknik bör omfatta:
Organisationer bör gå in på en "noll förtroende"-strategi för säkerhet.
Där organisationen lägger ut utvecklingen på entreprenad till tredjepartsorganisationer bör ansträngningar göras för att säkerställa att partnerns säkerhetsprinciper är anpassade till organisationens egna.
Organisationer bör också endast behandla PII om det är relevant, proportionellt och nödvändigt för att uppfylla ett uttalat syfte, inklusive:
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikel 25 (3) | ISO 27701 5.2.1 | Ingen |
EU GDPR artikel 25 (1)(f) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU GDPR artikel 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU GDPR artikel 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU GDPR artikel 25 (2) | ISO 27701 7.4.2 | Ingen |
Vi förser dig med en färdigbyggd miljö där du kan beskriva och demonstrera hur du skyddar dina europeiska och brittiska kunders data.
ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt.
Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.
Ta reda på mer av boka en kort 30 minuters demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo