GDPR Artikel 5 innehåller den mest mängd information som behöver beaktas ur ett ISO-perspektiv.
Artikel 5 kan till stor del ses som en uppsättning underliggande principer som flyter genom hela lagstiftningen i både Storbritannien och EU, som omfattar många olika områden för efterlevnad, inklusive:
Organisationer måste vara fullt insatta i artikel 5 för att bättre förstå de subtila nyanser som GDPR presenterar i andra delar av lagstiftningen.
Principer för behandling av personuppgifter
- Personuppgifter ska vara:
- a) behandlas lagligt, rättvist och på ett öppet sätt i förhållande till den registrerade (”laglighet, rättvisa och öppenhet”);
- (b) samlas in för specificerade, uttryckliga och legitima ändamål och inte vidarebehandlas på ett sätt som är oförenligt med dessa ändamål; vidarebehandling för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska, i enlighet med artikel 89, inte anses vara oförenlig med de ursprungliga ändamålen (”ändamålsbegränsning”);
- c) Adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas (”dataminimering”).
- d) korrekta och, vid behov, uppdaterade. alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, med hänsyn till de ändamål för vilka de behandlas, raderas eller korrigeras utan dröjsmål (”noggrannhet”);
- e) förvaras i en form som tillåter identifiering av registrerade inte längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. personuppgifter kan lagras under längre perioder i den mån personuppgifterna kommer att behandlas enbart för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89, med förbehåll för genomförandet av lämpliga tekniska och organisatoriska ändamål. åtgärder som krävs enligt denna förordning för att skydda den registrerades rättigheter och friheter (”lagringsbegränsning”).
- (f) behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder ("integritet och konfidentialitet").
- Den registeransvarige ska ansvara för och kunna visa att punkt 1 följs (”ansvarsskyldighet”).
Ur ett tekniskt perspektiv tillhandahåller artikel 5 till stor del den rättsliga ram inom vilken organisationer bör verka, för att förbli efterlevnad, över sex vägledande principer:
Även om det är otroligt vagt är "rättvisa" ett övergripande krav i GDPR, och fungerar som ett tolkningsverktyg för situationer som kanske inte strider mot lagens bokstav, men helt klart inte "rättvisa" ur en individs och deras perspektiv. rättigheter.
"Öppenhet" kräver att den registrerade är fullt medveten om behandlingen av sina uppgifter. GDPR kräver att information som lämnas till den registrerade ska levereras inom en rimlig tidsram, lättillgänglig och fri från fel.
GDPR Artikel 5 säger att all personlig information som samlas in bör begränsas till mycket specifika och legitima ändamål och inte får återanmälas för något annat ändamål än det som ursprungligen var avsett.
Dataminimering enligt GDPR Artikel 5 definieras under två termer – "bearbetning" och "syfte". I grund och botten måste organisationer se till att de endast behandlar data till miniminivån för att uppfylla dess ursprungliga syfte.
Data bör hållas korrekta och uppdaterade hela tiden. Om uppgifter visar sig vara felaktiga, anger artikel 5 att organisationer ska vidta "rimliga åtgärder" för att rätta till eventuella misstag som har begåtts. Sammantaget måste individer representeras korrekt av den information som finns på dem, så att alla beslut som fattas inte fattas på ett felaktigt intryck av vem de är.
Organisationer måste vara uppmärksamma på att bearbetningsverksamheten inte bör pågå för evigt. När en första uppsättning mål är uppfyllda bör databehandlingen upphöra. För att uppnå detta bör organisationer definiera lagringstider innan data bearbetas.
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Informationsöverföringsoperationer bör:
När organisationer använder elektroniska överföringsmöjligheter bör de:
Vid överföring av fysiska medier (inklusive pappersdokument) mellan lokaler eller externa platser bör organisationer:
Att verbalt förmedla känslig information utgör en unik säkerhetsrisk, särskilt när det gäller PII och integritetsskydd.
Organisationer bör påminna anställda om att:
Organisationer bör använda sekretessavtal (NDA) och sekretessavtal för att skydda avsiktligt eller oavsiktligt avslöjande av känslig information till obehörig personal.
När organisationer utarbetar, implementerar och upprätthåller sådana avtal bör:
Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDAs och sekretessavtal (se ISO 27002 kontroller 5.31, 5.32, 5.33 och 5.34).
Programsäkerhetsprocedurer bör utvecklas tillsammans med bredare integritetsskyddspolicyer, vanligtvis via en strukturerad riskbedömning som tar hänsyn till flera variabler.
Programsäkerhetskrav bör inkludera:
Transaktionstjänster som underlättar flödet av integritetsdata mellan organisationen och en tredjepartsorganisation, eller partnerorganisation, bör:
För alla ansökningar som involverar elektronisk beställning och/eller betalning bör organisationer:
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
Sedan migreringen har vi kunnat minska tiden för administration.
Organisationer bör noggrant välja testdata för att säkerställa att testaktiviteten är både tillförlitlig och säker. Organisationer bör vara extra uppmärksamma på att se till att PII inte kopieras till utvecklings- och testmiljöerna.
För att skydda driftsdata under testaktiviteter bör organisationer:
När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.
När de gör det bör organisationerna:
Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.
För att skapa en sammanhållen, välfungerande incidenthanteringspolicy som säkerställer tillgängligheten och integriteten för integritetsinformation under kritiska incidenter, bör organisationer:
Personal som är involverad i incidenter med integritetsinformationssäkerhet bör förstå:
När personalen hanterar säkerhetshändelser för integritetsinformation bör personalen:
Rapporteringsaktiviteter bör centreras kring fyra nyckelområden:
Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.
Organisationer bör följa juridiska, lagstadgade, regulatoriska och kontraktuella krav när:
Organisationer bör följa procedurer som tillåter dem identifiera, analysera och förstå lagstiftande och reglerande skyldigheter – särskilt de som handlar om integritetsskydd och PII – var de än är verksamma.
Organisationer bör ständigt vara uppmärksamma på sina skyldigheter om integritetsskydd när de ingår nya avtal med tredje part, leverantörer och entreprenörer.
När organisationer implementerar krypteringsmetoder för att stärka integritetsskyddet och skydda PII bör organisationer:
Organisationer bör överväga rekordhantering inom fyra nyckelområden:
För att upprätthålla ett funktionellt registersystem som skyddar PII och integritetsrelaterad information bör organisationer:
Organisationer bör implementera ämnesspecifika policyer som behandlar olika kategorier av slutpunktsenheter och mjukvaruversioner för mobila enheter, och hur säkerhetskontroller bör skräddarsys för att förbättra datasäkerheten.
En organisations policy för mobila enheter, procedurer och stödjande säkerhetsåtgärder bör ta hänsyn till:
Alla i organisationen som använder fjärråtkomst måste göras uttryckligen medvetna om alla policyer och procedurer för mobila enheter som gäller dem inom ramen för säker hantering av slutpunktsenheter.
Användare bör instrueras att:
Organisationer som tillåter personal att använda personligt ägda enheter bör också överväga följande säkerhetskontroller:
När organisationer utarbetar procedurer som handlar om trådlös anslutning på slutpunktsenheter bör organisationer:
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Istället för att jämställa all information bör organisationen klassificera information på en ämnesspecifik basis.
Informationsägare bör överväga fyra nyckelfaktorer, när de klassificerar data (särskilt när det gäller PII), som bör granskas regelbundet, eller när sådana faktorer ändras:
För att ge ett tydligt operativt ramverk bör informationskategorier namnges i enlighet med den inneboende risknivån om det skulle inträffa incidenter som äventyrar någon av ovanstående faktorer.
För att säkerställa plattformsoberoende kompatibilitet bör organisationer göra sina informationskategorier tillgängliga för extern personal som de delar information med, och se till att organisationens eget klassificeringssystem förstås allmänt av alla relevanta parter.
Organisationer bör vara försiktiga med att antingen underklassificera eller, omvänt, överklassificera data. Det förstnämnda kan leda till misstag vid gruppering av PII med mindre känsliga datatyper, medan det förra ofta leder till extra kostnader, större risk för mänskliga fel och bearbetningsavvikelser.
Etiketter är en viktig del av att säkerställa att organisationens PII-klassificeringspolicy (se ovan) följs, och att data tydligt kan identifieras i linje med dess känslighet (t.ex. att PII märks som skild från mindre konfidentiella datatyper).
PII-märkningsprocedurer bör definiera:
ISO ger många möjligheter för organisationer att välja sina egna märkningstekniker, inklusive:
När organisationer utvecklar policyer som styr hanteringen av mediatillgångar som är involverade i lagring av PII, bör organisationer:
Vid återanvändning, återanvändning eller kassering av lagringsmedia bör robusta procedurer införas för att säkerställa att PII inte påverkas på något sätt, inklusive:
Om enheter som har använts för att lagra PII skadas, bör organisationen noggrant överväga om det är lämpligare att förstöra sådana media eller inte, eller skicka det för reparation (fel på sidan av det förstnämnda).
Se ISO 27701 klausul 6.5.3.1
Om media ska kasseras den tidigare innehade PII, bör organisationer implementera procedurer som dokumenterar förstörelsen av PII och integritetsrelaterad data, inklusive kategoriska försäkringar om att den inte längre är tillgänglig.
När organisationer implementerar policyer som handlar om flyttbara media bör organisationer:
Organisationer bör föra noggranna register över alla lagringsmedier som används för att behandla känslig information, inklusive:
Under hela processen att återanvända, återanvända eller kassera lagringsmedia bör organisationer:
Användarregistrering styrs av användningen av tilldelade "identiteter". Identiteter ger organisationer ett ramverk för att styra användaråtkomst till PII och integritetsrelaterade tillgångar och material, inom gränserna för ett nätverk.
Organisationen måste följa sex huvudriktlinjer för att säkerställa att identiteter hanteras korrekt, och PII skyddas varhelst den lagras, bearbetas eller nås:
Organisationer som arbetar i partnerskap med externa organisationer (särskilt molnbaserade plattformar) bör förstå de inneboende riskerna som är förknippade med sådan praxis och vidta åtgärder för att säkerställa att PII inte påverkas negativt i processen (se ISO 27002 kontroller 5.19 och 5.17).
Vår senaste framgång med att uppnå ISO 27001, 27017 & 27018 certifiering berodde till stor del på ISMS.online.
"Åtkomsträttigheter" styr hur tillgång till PII och integritetsrelaterad information både beviljas och återkallas, med samma uppsättning vägledande principer.
Åtkomstprocedurer bör inkludera:
Organisationer bör genomföra regelbundna granskningar av åtkomsträttigheter över nätverket, inklusive:
Personal som antingen lämnar organisationen (antingen avsiktligt eller som uppsagd anställd), och de som är föremål för en ändringsförfrågan, bör få sina åtkomsträttigheter ändrade baserat på robusta riskhanteringsprocedurer, inklusive:
Anställningskontrakt och entreprenörs-/tjänstekontrakt bör innehålla en förklaring av vad som händer efter alla försök till obehörig åtkomst (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).
PII och integritetsrelaterade tillgångar måste lagras i ett nätverk som har en rad autentiseringskontroller, inklusive:
För att förhindra och minimera risken för obehörig åtkomst till PII bör organisationer:
PII och integritetsrelaterad information är särskilt utsatt när behovet uppstår att antingen göra sig av med eller återanvända lagring och bearbetning av tillgångar – antingen internt eller i samarbete med en specialiserad tredjepartsleverantör.
Framför allt måste organisationer se till att alla lagringsmedier som är markerade för bortskaffande, som har innehållit PII, bör fysiskt förstörda, torkas or överskriven (se ISO 27002 Kontroll 7.10 och 8.10).
För att förhindra att PII äventyras på något sätt, när de gör sig av med eller återanvänder tillgångar, bör organisationer:
PII och integritetsrelaterad information är särskilt utsatt när vårdslös personal och tredjepartsentreprenörer inte följer säkerhetsåtgärder på arbetsplatsen som skyddar mot oavsiktlig eller avsiktlig visning av PII av obehörig personal.
Organisationer bör utarbeta ämnesspecifika policyer för tydliga skrivbord och tydliga skärmar (på en arbetsyta-för-arbetsyta om det behövs) som inkluderar:
När organisationer kollektivt lämnar lokaler – som vid en kontorsflytt eller liknande flytt – bör jag anstränga mig för att säkerställa att ingen dokumentation lämnas kvar, vare sig i skrivbord och arkivsystem, eller någon som kan ha hamnat på oklara platser.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Ta 30 minuter för att se hur ISMS.online sparar timmar (och timmar!)
Boka möteOrganisationer bör utarbeta ämnesspecifika policyer som direkt tar upp hur organisationen backar upp de relevanta områdena i sitt nätverk för att skydda PII och förbättra motståndskraften mot integritetsrelaterade incidenter.
BUDR-förfaranden bör utarbetas för att uppnå det primära målet att säkerställa detta alla affärskritiska data, mjukvara och system kan återställas följande dataförlust, intrång, avbrott i verksamheten och kritiska misslyckanden.
Som en prioritet bör BUDR-planer:
Organisationer måste utveckla separata procedurer som enbart handlar om PII (även om de ingår i deras huvudsakliga BUDR-plan).
Regionala avvikelser i PII BUDR-standarder (kontraktuella, juridiska och regulatoriska) bör beaktas när ett nytt jobb skapas, jobb ändras eller ny PII-data läggs till i BUDR-rutinen.
Närhelst behovet uppstår för att återställa PII efter en BUDR-incident, bör organisationer vara mycket noga med att återställa PII till dess ursprungliga tillstånd och granska återställningsaktiviteter för att lösa eventuella problem med den nya datan.
Organisationer bör föra en logg över återställningsaktiviteter, inklusive all personal som är involverad i återställningen, och en beskrivning av PII som har återställts.
Organisationer bör kontrollera med alla lagstiftande eller tillsynsmyndigheter och se till att deras PII-återställningsprocedurer är i linje med vad som förväntas av dem som PII-behandlare och registeransvarig.
ISO definierar en "händelse" som varje åtgärd som utförs av en digital eller fysisk närvaro/enhet på ett datorsystem.
Händelseloggar bör innehålla:
ISO identifierar 11 händelser/komponenter som kräver loggning (och länkade till samma tidskälla – se ISO 27002 Kontroll 8.17), för att upprätthålla PII-säkerhet och förbättra organisationens integritetsskydd:
Loggar bör skyddas mot obehöriga ändringar eller driftsavvikelser, inklusive:
Organisationer bör använda följande tekniker för att förbättra loggbaserad säkerhet:
När behov uppstår att tillhandahålla loggar till externa organisationer bör strikta åtgärder vidtas för att skydda PII och integritetsrelaterad information, i enlighet med accepterade datasekretessstandarder (se ISO 27002 Kontroll 5.34 och ytterligare vägledning nedan).
Loggar kommer att behöva analyseras då och då, för att förbättra integritetsskyddet överlag och för att både lösa och förhindra säkerhetsintrång.
När de utför logganalys bör organisationer ta hänsyn till:
Loggövervakning ger organisationer möjligheten att skydda PII vid källan och främja ett proaktivt förhållningssätt till integritetsskydd.
Organisationer bör:
ISO kräver att organisationer övervakar loggar som hänför sig till PII genom enkontinuerlig och automatiserad övervaknings- och varningsprocess'. Detta kan kräva en separat uppsättning procedurer som övervakar åtkomst till PII.
Organisationer bör se till att – som en prioritet – loggar ger en tydlig redogörelse för åtkomst till PII, inklusive:
Organisationer bör bestämmaom, när och hur' PII-logginformation bör göras tillgänglig för kunderna, med alla kriterier fritt tillgängliga för huvudmännen själva och stor noggrannhet vidtas för att säkerställa att PII-huvudmän endast har tillgång till information som rör dem.
Se ISO 27701 klausul 6.9.4.1
Organisationer bör ägna mycket uppmärksamhet åt att se till att loggar som innehåller PII kontrolleras korrekt och dra nytta av säker övervakning.
Automatiska rutiner bör införas som antingen tar bort eller "avidentifierar" loggar, i linje med en publicerad lagringspolicy (se ISO 27002 Kontroll 7.4.7).
PII-huvudmän måste vara fullt insatta i alla olika anledningar till varför deras PII bearbetas.
Det är organisationens ansvar att förmedla dessa skäl till PII-huvudmän, tillsammans med ett "tydligt uttalande" om varför de behöver behandla sin information.
All dokumentation måste vara tydlig, heltäckande och lätt att förstå av alla PII-huvudmän som läser den – inklusive allt som rör samtycke, såväl som kopior av interna procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 och 7.2.8).
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISMS.online kommer att spara tid och pengar
Få din offertFör att bilda en rättslig grund för att behandla PII bör organisationer:
För varje punkt som nämns ovan bör organisationer kunna erbjuda dokumenterad bekräftelse
Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).
Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.
Organisationer måste ingå skriftliga, bindande avtal med alla externa PII-behandlare som de använder.
Eventuella kontrakt måste säkerställa att PII-behandlaren implementerar all nödvändig information som finns i ISO 27701 bilaga B, med särskild uppmärksamhet på riskbedömningskontroller (ISO 27701 klausul 5.4.1.2) och den övergripande omfattningen av bearbetningsaktiviteterna (se ISO 27701 klausul 6.12 ).
Organisationer måste kunna motivera utelämnandet av alla kontroller som finns i bilaga B, i deras relation till PII-processorn (se ISO 27701 klausul 5.4.1.3).
Organisationer måste upprätthålla en noggrann uppsättning register som stödjer deras handlingar och skyldigheter som PII-behandlare.
Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:
Organisationer bör utarbeta, dokumentera och implementera procedurer som gör det möjligt för PII-huvudmän att komma åt, korrigera och/eller radera sin PII.
Rutinerna bör innefatta mekanismer genom vilka PII-huvudmannen kan utföra ovanstående åtgärd, inklusive hur organisationen ska informera huvudmannen om korrigeringar inte kan göras.
Organisationer bör förbinda sig till en publicerad svarstid för alla begäranden om åtkomst, korrigering eller radering.
Det är mycket viktigt att kommunicera alla sådana förfrågningar till tredje part som har överförts PII (se ISO 27701 klausul 7.3.7).
En PII-rektors förmåga att begära korrigeringar eller raderingar dikteras av den jurisdiktion som organisationen verkar i. Som sådan bör företag hålla sig à jour med alla lagliga eller regulatoriska ändringar som styr deras skyldigheter gentemot PII.
Organisationer bör begränsa sin insamling av PII baserat på tre faktorer:
Organisationer bör endast samla in PII – antingen direkt eller indirekt – i enlighet med ovanstående faktorer, och endast för ändamål som är relevanta och nödvändiga för deras angivna syfte.
Som ett begrepp bör "privacy by default" följas – dvs alla valfria funktioner bör inaktiveras som standard.
Organisationer bör vidta åtgärder för att säkerställa att PII är korrekt, fullständig och uppdaterad under hela dess livscykel.
Organisatoriska informationssäkerhetspolicyer och tekniska konfigurationer bör innehålla steg som strävar efter att minimera fel under hela dess PII-bearbetning, inklusive kontroller för hur man reagerar på felaktigheter.
Organisationer måste konstruera förfaranden för "dataminimering", inklusive mekanismer som avidentifiering.
Dataminimering bör användas för att säkerställa att insamling och bearbetning av PII är begränsad till det "identifierade syftet" för varje funktion (se ISO 27701, avsnitt 7.2.1).
En stor del av denna process handlar om att dokumentera i vilken utsträckning en PII-principalinformation ska vara direkt hänförlig till dem, och hur minimering ska uppnås via en mängd olika tillgängliga metoder.
Organisationer bör beskriva de specifika tekniker som används för att avidentifiera PII-principer, till exempel:
Organisationer måste antingen fullständigt förstöra alla PII som inte längre uppfyller ett syfte, eller modifiera dem på ett sätt som förhindrar någon form av principiell identifiering.
Så snart organisationen konstaterat att PII inte behöver behandlas någon gång i framtiden, bör informationen raderade or de identifierade, som omständigheterna föreskriver.
Tillfälliga filer skapas av ett antal tekniska skäl, under hela livscykeln för PII-bearbetning och insamling, över många applikationer, system och säkerhetsplattformar.
Organisationer måste se till att dessa filer förstörs inom rimlig tid, i enlighet med en officiell lagringspolicy.
Ett enkelt sätt att identifiera förekomsten av sådana filer är att utföra periodiska kontroller av temporära filer över nätverket. Tillfälliga filer inkluderar ofta:
Organisationer bör följa en sk förfarande för sophämtning som tar bort temporära filer när de inte längre behövs.
Organisationer måste ha tydliga policyer och procedurer som styr hur PII kasseras.
Databortskaffande är ett vittomfattande ämne som innehåller en mängd olika variabler, baserat på den nödvändiga bortskaffningstekniken och typen av data som kasseras.
Organisationer måste överväga:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Alla PII som är inställda på att överföras till en tredjepartsorganisation bör göras med största noggrannhet för informationen som skickas, med säkra medel.
Organisationer måste säkerställa att endast auktoriserad personal har tillgång till överföringssystem och gör det på ett sätt som lätt kan granskas med det enda syftet att få informationen dit den behöver gå utan incidenter.
Från början bör PII endast behandlas i enlighet med kundens instruktioner.
Kontrakt bör innehålla SLA som hänför sig till ömsesidiga mål, och eventuella tillhörande tidsskalor som de behöver slutföras inom.
Organisationer bör erkänna sin rätt att välja de distinkta metoder som används för att behandla PII, som lagligen uppnår det kunden söker, men utan att behöva få detaljerade tillstånd om hur organisationen går till väga på en teknisk nivå.
Organisationer måste se till att temporära filer förstörs inom en rimlig tid, i enlighet med en officiell lagringspolicy och tydliga raderingsprocedurer.
Ett enkelt sätt att identifiera förekomsten av sådana filer är att utföra periodiska kontroller av temporära filer över nätverket.
Organisationer bör följa en sk förfarande för sophämtning som tar bort temporära filer när de inte längre behövs.
Närhelst behovet uppstår för att PII ska överföras över ett datanätverk (inklusive en dedikerad länk), måste organisationer vara upptagna med att säkerställa att PII når rätt mottagare i tid.
När PII överförs mellan datanätverk bör organisationer:
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikel 5(f) | 6.10.2.1 | 5.13 8.7 8.24 |
EU GDPR artikel 5 | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU GDPR artikel 5(f) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikel 5(f) | 6.11.3.1 | 8.10 8.11 |
EU GDPR artikel 5(f) | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikel 5(f) | 6.15.1.1 | 5.20 |
EU GDPR artikel 5 (2) | 6.15.1.3 | Ingen |
EU GDPR artikel 5(f) | 6.3.2.1 | 8.9 8.16 |
EU GDPR artikel 5(f) | 6.5.2.1 | Ingen |
EU GDPR artikel 5(f) | 6.5.2.2 | Ingen |
EU GDPR artikel 5(f) | 6.5.3.1 | 5.14 |
EU GDPR artikel 5(f) | 6.5.3.2 | 5.14 |
EU GDPR artikel 5(f) | 6.6.2.1 | 5.17 5.19 |
EU GDPR artikel 5(f) | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU GDPR artikel 5(f) | 6.6.4.2 | Ingen |
EU GDPR artikel 5(f) | 6.8.2.7 | 7.10 8.10 |
EU GDPR artikel 5(f) | 6.8.2.9 | Ingen |
EU GDPR artikel 5(f) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikel 5(f) | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU GDPR artikel 5(f) | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU GDPR artikel 5 (1)(b) | 7.2.1 | Ingen |
EU GDPR artikel 5 (1)(a) | 7.2.2 | Ingen |
EU GDPR artikel 5 (2) | 7.2.8 | Ingen |
EU GDPR artikel 5 (1)(d) | 7.3.6 | Ingen |
EU GDPR artikel 5 (1)(b) | 7.4.1 | Ingen |
EU GDPR artikel 5 (1)(d) | 7.4.3 | Ingen |
EU GDPR artikel 5 (1)(c) | 7.4.4 | Ingen |
EU GDPR artikel 5(c), 1(e) | 7.4.5 | Ingen |
EU GDPR artikel 5 (1)(c) | 7.4.6 | Ingen |
EU GDPR artikel 5 (1)(f) | 7.4.8 | Ingen |
EU GDPR artikel 5 (1)(f) | 7.4.9 | Ingen |
EU GDPR artikel 5(a), 1(5)(b) | 8.2.2 | Ingen |
EU GDPR artikel 5 (1)(c) | 8.4.1 | Ingen |
EU GDPR artikel 5 (1)(f) | 8.4.3 | Ingen |
Din kompletta GDPR-lösning.
En förbyggd miljö som sömlöst passar in i ditt ledningssystem låter dig beskriva och demonstrera ditt sätt att skydda europeiska och brittiska kunddata.
Med ISMS.online kan du hoppa direkt in i GDPR-efterlevnad och demonstrera skyddsnivåer som går utöver "rimliga", allt på en säker, alltid-på plats.
I kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till', erbjuder ISMS.online-plattformen inbyggd vägledning vid varje steg, vilket minskar ansträngningen som krävs för att visa att du följer GDPR. Ett antal kraftfulla tidsbesparande funktioner kommer också att vara tillgängliga för dig.
Ta reda på mer av boka en kort 30 minuters demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Upptäck det bästa sättet att uppnå framgång med ISMS
Få din gratis guide