Hur man visar efterlevnad av GDPR artikel 28

Storbritanniens GDPR-version

Processorn

1. Om behandling ska utföras för en personuppgiftsansvarigs räkning ska den personuppgiftsansvarige endast använda registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer skyddet av rättigheterna för den registrerade.
2. Databehandlaren ska inte anlita en annan registerförare utan föregående specifikt eller allmänt skriftligt tillstånd från den registeransvarige. Vid generell skriftlig auktorisation ska registerföraren informera den personuppgiftsansvarige om eventuella avsedda ändringar som rör tillägg eller ersättning av andra registerförare och därigenom ge den registeransvarige möjlighet att invända mot sådana ändringar.
3. Behandling av en personuppgiftsbiträde ska regleras av ett avtal eller annan rättsakt enligt nationell lag, som är bindande för registerföraren med avseende på den registeransvarige och som anger föremålet för och varaktigheten för behandlingen, arten och syftet med behandlingen. , typen av personuppgifter och kategorier av registrerade och den registeransvariges skyldigheter och rättigheter. Avtalet eller annan rättsakt ska särskilt föreskriva att processorn:
• (a) Behandlar personuppgifterna endast på dokumenterade instruktioner från den personuppgiftsansvarige, inklusive när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte det krävs enligt nationell lag som registerföraren lyder under; i ett sådant fall ska registerföraren informera den personuppgiftsansvarige om det rättsliga kravet före behandlingen, såvida inte den lagen förbjuder sådan information av viktiga skäl av allmänt intresse.
• (b) Säkerställer att personer som är auktoriserade att behandla personuppgifterna har förbundit sig till sekretess eller är under en lämplig lagstadgad tystnadsplikt.
• (c) Vidtar alla åtgärder som krävs enligt artikel 32.
• d) Respekterar de villkor som avses i punkterna 2 och 4 för att anlita en annan processor.
• (e) Med beaktande av behandlingens art, bistår den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, för fullgörandet av den registeransvariges skyldighet att svara på förfrågningar om att utöva den registrerades rättigheter enligt kapitel III .
• (f) Bistår den registeransvarige med att säkerställa efterlevnaden av skyldigheterna enligt artiklarna 32–36 med hänsyn till behandlingens art och den information som är tillgänglig för registerföraren.
• (g) Vid val av den personuppgiftsansvarige, raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter avslutat tillhandahållande av tjänster som rör behandling, och raderar befintliga kopior om inte inhemsk lag kräver lagring av personuppgifterna.
• (h) Tillhandahåller den registeransvarige all information som är nödvändig för att visa att de skyldigheter som fastställs i denna artikel efterlevs och möjliggöra och bidra till revisioner, inklusive inspektioner, som utförs av den registeransvarige eller annan revisor som bemyndigats av den registeransvarige.
   
  När det gäller led h i första stycket ska registerföraren omedelbart informera den personuppgiftsansvarige om, enligt dennes uppfattning, en instruktion strider mot denna förordning eller annan inhemsk lag som rör dataskyddsskyldigheter.
4. Om en personuppgiftsbiträde anlitar en annan personuppgiftsbiträde för att utföra särskilda behandlingsaktiviteter för den registeransvariges räkning, ska samma dataskyddsskyldigheter som anges i avtalet eller annan rättsakt mellan den registeransvarige och registerföraren enligt punkt 3 åläggas annan personuppgiftsbiträde genom ett avtal eller annan rättsakt enligt nationell lagstiftning, i synnerhet tillhandahållande av tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen kommer att uppfylla kraven i denna förordning. Om den andra registerföraren inte fullgör sina skyldigheter om dataskydd, ska den ursprungliga databehandlaren förbli fullt ansvarig gentemot den registeransvarige för fullgörandet av den andra registerförarens skyldigheter.
5. En processors efterlevnad av en godkänd uppförandekod enligt artikel 40 eller en godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa tillräckliga garantier enligt punkterna 1 och 4 i denna artikel .
6. Utan att det påverkar ett individuellt avtal mellan den registeransvarige och registerföraren, kan avtalet eller den andra rättsakt som avses i punkterna 3 och 4 i denna artikel grundas, helt eller delvis, på standardavtalsklausuler som avses i punkt 8 i denna artikel, inklusive när de ingår i en certifiering som beviljats ​​den registeransvarige eller registerföraren i enlighet med artiklarna 42 och 43.
7. Kommissionären får anta standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i denna artikel.
8. Avtalet eller andra rättsakter som avses i punkterna 3 och 4 ska vara skriftliga, även i elektronisk form.
9. Utan att det påverkar tillämpningen av artiklarna 82, 83 och 84, om en registerförare bryter mot denna förordning genom att fastställa ändamålen och medlen för behandlingen, ska registerföraren anses vara en registeransvarig med avseende på den behandlingen.

Teknisk kommentar

GDPR Artikel 28 behandlar åtta ingående områden som styr hur databehandlingsaktiviteter kan läggas ut på entreprenad till tredje parts tjänsteleverantörer:

1. De minimikrav som krävs för att använda en tjänsteleverantör.
2. Ytterligare engagemang från andra processorer, när tjänsteleverantören har anlitats.
3. Behovet av ett juridiskt bindande, skriftligt avtal.
4. Underbearbetning (underentreprenad).
5. Uppförandekoder.
6. Avtalsklausuler.
7. Formkrav.
8. Rättsliga konsekvenser efter avtalsbrott.

ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 28

I det här avsnittet talar vi om GDPR artiklarna 28 (10), 28 (5) och 28 (6)

Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.

Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.

Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.

Detta inkluderar:

1. Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut".
2. Med hänsyn till organisationens unika kravuppsättning avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer.
3. Eventuella administrativa faktorer, inklusive den dagliga driften av företaget.
4. Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.

ISO 27701 klausul 6.12.1.2 (Adressering av säkerhet inom leverantörsavtal) och EU GDPR artikel 28

I det här avsnittet talar vi om GDPR-artiklarna 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) och (3)(h)

När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.

När de gör det bör organisationerna:

• Erbjud en tydlig beskrivning som beskriver sekretessinformationen som behöver nås och hur den informationen kommer att nås.
• Klassificera integritetsinformationen som ska nås i enlighet med ett accepterat klassificeringssystem (se ISO 27002 Kontrollerna 5.10, 5.12 och 5.13).
• Ta tillräcklig hänsyn till leverantörens eget klassificeringssystem.
• Kategorisera rättigheter i fyra huvudområden – juridiska, lagstadgade, regulatoriska och avtalsenliga – med en detaljerad beskrivning av skyldigheter per område.
• Se till att varje part är skyldig att införa en serie kontroller som övervakar, bedömer och hanterar risknivåer för integritetsinformationssäkerhet.
• Beskriv behovet av leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Underlätta en tydlig förståelse av vad som utgör både acceptabel och oacceptabel användning av sekretessinformation och fysiska och virtuella tillgångar från endera parten.
• Anta auktoriseringskontroller som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations sekretessinformation.
• Tänk på vad som händer vid avtalsbrott eller eventuellt underlåtenhet att följa individuella bestämmelser.
• Beskriv en incidenthanteringsprocedur, inklusive hur större händelser kommuniceras.
• Se till att personalen får utbildning i säkerhetsmedvetenhet.
• (Om leverantören har tillåtelse att använda underleverantörer) lägg till krav för att säkerställa att underleverantörer är anpassade till samma uppsättning säkerhetsstandarder för sekretessinformation som leverantören.
• Tänk på hur leverantörspersonal kontrolleras innan de interagerar med sekretessinformation.
• Ange behovet av tredjepartsintyg som adresserar leverantörens förmåga att uppfylla organisatoriska säkerhetskrav för integritetsinformation.
• Har avtalsenlig rätt att granska en leverantörs rutiner.
• Kräv att leverantörer levererar rapporter som beskriver effektiviteten i deras egna processer och procedurer.
• Fokusera på att vidta åtgärder för att påverka en snabb och noggrann lösning av eventuella defekter eller konflikter.
• Se till att leverantörer arbetar med en adekvat BUDR-policy för att skydda integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar.
• Kräv en policy för förändringshantering på leverantörssidan som informerar organisationen om alla förändringar som har potential att påverka integritetsskyddet.
• Implementera fysiska säkerhetskontroller som är proportionella mot känsligheten hos de data som lagras och bearbetas.
• (Där data ska överföras) be leverantörer att se till att data och tillgångar är skyddade från förlust, skada eller korruption.
• Ange en lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning.
• Be leverantören att beskriva hur de avser att förstöra integritetsinformation efter uppsägning, eller att uppgifterna inte längre behövs.
• Vidta åtgärder för att säkerställa minimala affärsavbrott under en överlämningsperiod.

Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.

Stöder ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 klausul 6.15.1.1 (Identifiering av tillämplig lagstiftning och kontraktskrav) och EU GDPR artikel 28

I det här avsnittet talar vi om GDPR artiklarna 28 (1), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) )(f), (3)(g) och (3)(h)

Organisationer bör följa juridiska, lagstadgade, regulatoriska och kontraktuella krav när:

1. Utarbeta och/eller ändra säkerhetsrutiner för integritetsinformation.
2. Kategorisering av information.
3. Inleda riskbedömningar relaterade till aktiviteter för integritetsinformationssäkerhet.
4. Skapa leverantörsrelationer, inklusive eventuella avtalsförpliktelser genom hela leveranskedjan.

Organisationer bör följa procedurer som tillåter dem identifiera, analysera och förstå lagstiftande och reglerande skyldigheter – särskilt de som handlar om integritetsskydd och PII – var de än är verksamma.

Organisationer bör ständigt vara uppmärksamma på sina skyldigheter om integritetsskydd när de ingår nya avtal med tredje part, leverantörer och entreprenörer.

När organisationer implementerar krypteringsmetoder för att stärka integritetsskyddet och skydda PII bör organisationer:

• Följ alla lagar som reglerar import och export av hårdvara eller mjukvara som har potential att fylla en kryptografisk funktion.
• Ge tillgång till krypterad information enligt lagarna i den jurisdiktion de är verksamma inom.
• Använd tre nyckelelement för kryptering:
1. Digitala signaturer.
2. Tätningar.
3. Digitala certifikat.

Stöder ISO 27002 kontroller

• ISO 27002 5.20

ISO 27701 klausul 7.2.6 (kontrakt med PII-processorer) och EU GDPR artiklarna 28(3)(e) och 28(9)

Organisationer måste beskriva detaljerna för alla gemensamma PII-bearbetningsarrangemang, med en medföljande PII-kontrollant – detta inkluderar allmänna skyddsåtgärder och alla tillhörande säkerhetskrav.

Roller och ansvar måste vara tydliga och otvetydiga och beskrivas i ett juridiskt bindande dokument (kallas ibland ett "datadelningsavtal").

Avtal kan innefatta (bland andra åtgärder):

• Varför PII delas.
• Datakategorier.
• En allmän översikt över PII-bearbetningen.
• Eventuella relevanta roller och ansvarsområden.
• Hur integritetsinformationssäkerheten ska styras.
• Vilka åtgärder som ska vidtas i händelse av dataintrång.
• Hur PII ska behållas och förstöras när det inte längre behövs.
• Vad händer när någon av parterna bryter mot avtalet.
• Vad endera partens skyldigheter är gentemot PII-huvudmän.
• Vilka mekanismer finns på plats för att ge PII-huvudmän tillämpliga detaljer i det gemensamma avtalet.
• Hur PII-rektorer kan göra officiella förfrågningar och hur man formulerar och levererar ett svar.
• Kontaktpunkter – både internt och för PII-huvudmän att använda.

ISO 27701 klausul 8.2.1 (kundavtal) och EU GDPR artikel 28

I det här avsnittet talar vi om GDPR artiklarna 28 (3)(e) och 28 (3)(f) och 28 (9)

Kundkontrakt bör innehålla:

• Begreppet "privacy by design" (se ISO 27701 klausuler 7.4 och 8.4).
• Hur organisationen avser att uppnå säkerhet vid handläggning.
• Hur överträdelser ska rapporteras, inklusive kund, uppdragsgivare och tillsynsmyndigheter.
• Hur ser din drömresa ut Bedömningar av sekretesspåverkan ska behandlas.
• Bekräftelse av organisationens avsikt att ge hjälp till PII-skyddsmyndigheter.

Stöder ISO 27701 klausuler

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 klausul 8.2.2 (Organisationens syften) och EU GDPR artikel 28 (3)(a)

Kontrakt bör innehålla SLA som hänför sig till ömsesidiga mål, och eventuella tillhörande tidsskalor som de behöver slutföras inom.

Organisationer bör erkänna sin rätt att välja de distinkta metoder som används för att behandla PII, som lagligen uppnår det kunden söker, men utan att behöva få detaljerade tillstånd om hur organisationen går till väga på en teknisk nivå.

ISO 27701 klausul 8.2.4 (intrångande instruktioner) och EU GDPR artikel 28 (3)(h)

Organisationer måste upprätthålla en grundlig arbetsförståelse för hur instruktioner kan komma i konflikt med tillämplig lagstiftning eller regulatoriska skyldigheter.

Överträdelser sker vanligtvis kring tre faktorer.

1. Hur tekniken används.
2. Utgångspunkten för instruktionen.
3. Eventuella avtalsförpliktelser.

ISO 27701 klausul 8.2.5 (kundens skyldigheter) och EU GDPR artikel 28 (3)(h)

Organisationer måste kunna förse sina kunder med tillräcklig information, så att kunderna kan fullgöra sina skyldigheter vid varje given tidpunkt.

Den information som krävs kan innehålla ett brett spektrum av funktioner, men är vanligtvis relaterad till internrevisioner och organisationens roll i att underlätta dem genom tillhandahållande av information.

ISO 27701 klausul 8.3.1 (Obligations to PII Principals) och EU GDPR artikel 28 (3)(h)

De registeransvarigas skyldigheter styrs av tre faktorer:

1. Lagstiftning.
2. Förordning.
3. Kontrakt.

Kontrakt bör innehålla ev informationen or teknisk verksamhet som gör det möjligt för organisationen att uppfylla sina skyldigheter som registeransvarig.

ISO 27701 klausul 8.4.2 (Återlämnande, överföring eller bortskaffande av PII) och EU GDPR artikel 28 (3)(g)

Det finns olika scenarier som kräver bortskaffande av PII, inklusive (men inte begränsat till):

• Återlämna eventuell PII till kunden.
• Tillhandahållande av PII till en annan organisation.
• Förstör information.
• Avidentifiering.
• Arkivering.

Organisationer måste tillhandahålla kategoriska försäkringar om att alla PII som inte längre behövs kommer att förstöras i enlighet med gällande lagstiftning eller regionala riktlinjer.

Alla avfallshanteringspolicyer bör vara tillgängliga för kunden på begäran och bör omfatta den tidsperiod som organisationer måste förstöra PII, när ett kontrakt har sagts upp.

ISO 27701 klausul 8.5.4 (Meddelande om begäranden om offentliggörande av PII) och EU GDPR artikel 28 (3)(a)

Organisationer bör utarbeta ett förfarande som styr hur PII-huvudmän underrättas om juridiskt bindande begäranden från tredje part om deras information, inklusive en rimlig tidsram och en avtalsbestämmelse som beskriver hela processen.

Framför allt behöver organisationer följa kraven från brottsbekämpande myndigheter, som har rätt att begära att kunden inte underrättas om någon begäran, och se till att de inte bryter mot några lagar genom att av misstag eller avsiktligt informera kunden om situationen.

ISO 27701 klausul 8.5.6 (Upplysning av underleverantörer som används för att bearbeta PII) och EU GDPR artiklarna 28 (2) och (28)(4)

Alla bestämmelser för användning av underleverantörer bör anges som sådana i SLA/kundkontraktet.

Information om underleverantörer bör innehålla:

• Underleverantörens namn.
• Alla länder som underleverantören kan överföra data till (se ISO 27701 klausul 8.5.2), så att kunden kan informera eventuella PII-huvudmän.
• Hur underleverantören förväntas möta organisationens behov (se ISO 27701 klausul 8.5.7).

NDA:er bör utarbetas för att avslöja all information som skulle innebära en ökad säkerhetsrisk om den exponeras offentligt.

Stöder ISO 27701 klausuler

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 klausul 8.5.7 (Engagement of a Subcontractor to Process PII) och EU GDPR artiklarna 28 (2) och 28 (3)(d)

Organisationer måste erhålla skriftligt godkännande från sina kunder innan någon PII behandlas av en tredjepartsorganisation.

Underleverantörer bör omfattas av ett bindande avtal (vanligtvis i form av ett skriftligt kontrakt), som säkerställer att underleverantörer förstår sina skyldigheter för att implementera kontrollerna som anges i ISO 27701 bilaga B.

Kontrakt bör ta hänsyn till olika riskbedömningsprocesser (se ISO 27701 klausul 5.4.1.2) och hela omfattningen av organisationens PII-behandling (se ISO 27701 klausul 6.12). Som ovan bör alla kontroller som anges i bilaga B följas, med eventuella utelämnanden listade, tillsammans med motiveringarna för att göra det.

Stöder ISO 27701 klausuler

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 klausul 8.4 (Change of Subcontractor to Process PII) och EU GDPR GDPR Artikel 28 (2)

Närhelst det uppstår behov av att ändra hur organisationen lägger ut någon del av sin PII-bearbetning på entreprenad, bör kunderna informeras om ändringarna i god tid för att ge dem tid att ifrågasätta eller invända mot dessa ändringar.

Kontrakt bör innehålla klausuler som kräver skriftligt tillstånd från kunden för att gå vidare med ändringen, innan någon PII behandlas.

Organisationer kan också söka godkännande för ändringar inom skriftliga ad hoc-avtal, utanför eventuella avtalsvillkor.

Stöder ISO 27701-klausuler och ISO 27002-kontroller

Hur ISMS.online hjälper

Byggd enligt ISO 27701, anpassad till andra regler.

Med ISO 27701 kan du skapa ett integritetsinformationshanteringssystem som följer de flesta integritetsbestämmelser. Detta inkluderar EU:s Allmän uppgiftsskyddsförordning, BS 10012 och Sydafrikas POPIA.

Du kan enkelt följa den internationella standarden med vår förenklade, säkra och hållbara programvara.

Allt-i-ett-plattformen vi tillhandahåller säkerställer att ditt integritetsarbete överensstämmer med ISO 27701 och uppfyller dess krav.

Ta reda på mer av boka en kort 30 minuters demo.