GDPR Artiklassa 32 todetaan, että organisaatioiden on toteutettava erilaisia toimenpiteitä, joilla saavutetaan riittävä turvallisuustaso tietojenkäsittelytoiminnassaan.
Tämän saavuttamiseksi organisaatioiden on otettava huomioon:
Käsittelyn turvallisuus
- Ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskin vaihtelevasta todennäköisyydestä ja vakavuusasteesta luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän ja käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet riskille sopivan turvallisuustason varmistamiseksi, mukaan lukien muun muassa tarvittaessa:
- Henkilötietojen pseudonymisointi ja salaus.
- Kyky varmistaa käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja joustavuus.
- Mahdollisuus palauttaa henkilötietojen saatavuus ja pääsy oikeaan aikaan fyysisen tai teknisen vaaratilanteen sattuessa.
- Prosessi, jolla säännöllisesti testataan, arvioidaan ja arvioidaan teknisten ja organisatoristen toimenpiteiden tehokkuutta käsittelyn turvallisuuden varmistamiseksi.
- Asianmukaista turvallisuustasoa arvioitaessa on otettava huomioon erityisesti käsittelystä aiheutuvat riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahattomasta tai laittomasta tuhoutumisesta, katoamisesta, muuttamisesta, luvattomasta luovuttamisesta tai niihin pääsystä.
- Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osana tämän artiklan 1 kohdassa asetettujen vaatimusten noudattamisen osoittamista.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on ryhdyttävä toimenpiteisiin sen varmistamiseksi, että kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, ei käsittele niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei häntä vaadita unionin tai jäsenvaltion lainsäädäntöä.
Käsittelyn turvallisuus
- Ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskin vaihtelevasta todennäköisyydestä ja vakavuusasteesta luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän ja käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet riskille sopivan turvallisuustason varmistamiseksi, mukaan lukien muun muassa tarvittaessa:
- Henkilötietojen pseudonymisointi ja salaus.
- Kyky varmistaa käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja joustavuus.
- Mahdollisuus palauttaa henkilötietojen saatavuus ja pääsy oikeaan aikaan fyysisen tai teknisen vaaratilanteen sattuessa.
- Prosessi, jolla säännöllisesti testataan, arvioidaan ja arvioidaan teknisten ja organisatoristen toimenpiteiden tehokkuutta käsittelyn turvallisuuden varmistamiseksi.
- Asianmukaista turvallisuustasoa arvioitaessa on otettava huomioon erityisesti käsittelystä aiheutuvat riskit, erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahattomasta tai laittomasta tuhoutumisesta, katoamisesta, muuttamisesta, luvattomasta luovuttamisesta tai niihin pääsystä.
- Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osana tämän artiklan 1 kohdassa asetettujen vaatimusten noudattamisen osoittamista.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on ryhdyttävä toimenpiteisiin sen varmistamiseksi, että kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, ei käsittele niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei häntä vaadita kansallista lainsäädäntöä.
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
GDPR:n artikla 32 kehottaa organisaatioita ottamaan tietojenkäsittelyssä riskiperusteisen lähestymistavan, jossa otetaan huomioon useita keskeisiä muuttujia:
Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.
Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.
Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.
Tämä sisältää:
ISO suosittelee perusteellista scoping-harjoitusta, jotta organisaatiot pystyvät tuottamaan PIMS:n, joka ensinnäkin täyttää sen yksityisyyden suojavaatimukset, eikä toisaalta hiipi huomioimattomille liiketoiminnan alueille.
Organisaatioiden tulee luoda ja dokumentoida:
Kaikkiin PIMS-toteutusta kartoittaviin mittausharjoituksiin tulee sisältyä henkilötietojen käsittely- ja tallennustoimintojen perusteellinen arviointi.
Organisaatioiden tulisi pyrkiä toteuttamaan, hallitsemaan ja optimoimaan Privacy Information Management System (PIMS) julkaistujen ISO-standardien mukaisesti.
Organisaatioiden tulee suunnitella ja ottaa käyttöön yksityisyyden suojan riskinarviointiprosessi, joka:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Organisaatioiden tulee laatia ja ottaa käyttöön yksityisyyden suojan/henkilökohtaisen tiedon "riskinkäsittelyprosessi", joka:
Sovellusten turvamenettelyjä tulisi kehittää laajempien yksityisyyden suojakäytäntöjen rinnalla, yleensä useat muuttujat huomioon ottavan jäsennellyn riskiarvioinnin avulla.
Sovelluksen turvallisuusvaatimusten tulee sisältää:
Tapahtumapalveluiden, jotka helpottavat tietosuojatietojen kulkua organisaation ja kolmannen osapuolen organisaation tai kumppaniorganisaation välillä, tulee:
Kaikkien sähköistä tilaamista ja/tai maksamista koskevien sovellusten osalta organisaatioiden tulee:
Toimittajasuhteiden turvallisuudesta puhuttaessa organisaatioiden tulee varmistaa, että molemmat osapuolet ovat tietoisia velvollisuuksistaan yksityisyyden tietoturvaa kohtaan ja toisilleen.
Näin tehdessään organisaatioiden tulee:
Organisaatioiden tulee myös ylläpitää a sopimusrekisteri, jossa luetellaan kaikki muiden organisaatioiden kanssa tehdyt sopimukset.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Tässä osiossa puhumme GDPR-artikkeleista 32 (1) (b), 32 (1) (d), 32 (2)
Organisaatioiden tulee kehittää prosesseja, jotka mahdollistavat niiden yksityisyystietoturvakäytäntöjen riippumattoman arvioinnin, mukaan lukien sekä aihekohtaiset käytännöt että yleiset käytännöt.
Arvostelut tulee suorittaa:
Katselmusten tulee olla riippumattomia ja niiden tulee olla henkilöiden, joilla on riittävät tiedot yksityisyyden suojan ohjeista ja organisaation omista menettelytavoista.
Tarkastajien tulee selvittää, ovatko tietosuojakäytännöt organisaation "dokumentoitujen tavoitteiden ja vaatimusten mukaisia".
Järjesteltyjen määräaikaistarkastelujen lisäksi organisaatiot voivat kohdata tarpeen suorittaa ad hoc -tarkastuksia, jotka laukaisevat tietyt tapahtumat, mukaan lukien:
Organisaatioiden on varmistettava, että henkilöstö pystyy tarkistamaan tietosuojakäytännöt koko liiketoiminnassaan.
Johdon tulee kehittää teknisiä menetelmiä tietosuojan noudattamisen raportoimiseksi (mukaan lukien automaatio ja räätälöidyt työkalut). Raportit tulee tallentaa, tallentaa ja analysoida henkilökohtaisten tunnistetietojen turvallisuuden ja yksityisyyden suojan parantamiseksi.
Jos vaatimustenmukaisuuteen liittyviä ongelmia havaitaan, organisaatioiden tulee:
On erittäin tärkeää ryhtyä korjaaviin toimenpiteisiin mahdollisimman pian. Jos ongelmia ei saada täysin ratkaistua seuraavaan tarkasteluun mennessä, vähintään on esitettävä todisteet siitä, että edistystä tapahtuu.
Sen sijaan, että kaikki hallussa olevat tiedot asettettaisiin tasa-arvoisesti, organisaation tulisi luokitella tiedot aihekohtaisesti.
Tietojen omistajien tulee ottaa huomioon neljä keskeistä tekijää luokitessaan tietoja (erityisesti henkilökohtaisia tunnistetietoja), jotka tulee tarkistaa säännöllisesti tai kun tekijät muuttuvat:
Selkeän toimintakehyksen luomiseksi tietoluokat tulisi nimetä luontaisen riskitason mukaisesti, jos tapahtuu onnettomuuksia, jotka vaarantavat jonkin edellä mainituista tekijöistä.
Eri alustojen yhteensopivuuden varmistamiseksi organisaatioiden tulee saattaa tietokategoriansa kaikkien ulkopuolisten henkilöiden saataville, joiden kanssa ne jakavat tietoja, ja varmistaa, että organisaation oma luokitusjärjestelmä on laajasti kaikkien asianomaisten osapuolten ymmärtämä.
Organisaatioiden tulee olla varovaisia tietojen ali- tai päinvastoin yliluokittelusta. Ensimmäinen voi johtaa virheisiin PII-tietojen ryhmittelyssä vähemmän arkaluonteisiin tietotyyppeihin, kun taas edellinen johtaa usein lisäkustannuksiin, suurempaan inhimillisten virheiden mahdollisuuteen ja käsittelyhäiriöihin.
Kun kehitetään käytäntöjä, jotka ohjaavat henkilökohtaisten tunnistetietojen tallentamiseen liittyvien mediavarojen käsittelyä, organisaatioiden tulee:
Kun tallennusvälinettä käytetään uudelleen, käytetään uudelleen tai hävitetään, on otettava käyttöön vankat menettelyt sen varmistamiseksi, että henkilökohtaisiin tietoihin ei vaikuteta millään tavalla, mukaan lukien:
Jos henkilökohtaisten tunnistetietojen tallentamiseen käytetyt laitteet vaurioituvat, organisaation tulee harkita huolellisesti, onko tarkoituksenmukaisempaa tuhota tietoväline tai lähettää se korjattavaksi (ennen puolella).
ISO varoittaa organisaatioita käyttämästä salaamattomia tallennuslaitteita Kaikki PII-toimintaan liittyvä toiminta.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Olemme kustannustehokkaita ja nopeita
Katso yllä oleva kohta ISO 27701:n lausekkeesta 6.5.3.1
Jos media aiotaan hävittää aiemmin hallussa olevista henkilökohtaisista tiedoista, organisaatioiden tulee ottaa käyttöön menettelyt, jotka dokumentoivat henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien tietojen tuhoamisen, mukaan lukien kategoriset takeet siitä, että ne eivät ole enää saatavilla.
Organisaatioiden tulee käyttää salausta suojatakseen luottamuksellisuus, aitous ja eheys henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja sekä noudattaa erilaisia sopimusvelvoitteitaan, lakisääteisiä tai säännöksiä koskevia velvoitteitaan.
Salaus on kauaskantoinen käsite – ei ole olemassa "yksi koko sopii kaikille" -lähestymistapaa. Organisaatioiden tulee arvioida tarpeensa ja valita salausratkaisu, joka täyttää niiden ainutlaatuiset kaupalliset ja toiminnalliset tavoitteet.
Organisaatioiden tulee harkita:
Keskeiset hallintamenettelyt tulisi jakaa seitsemään päätoimintoon:
Organisaation avainten hallintajärjestelmien tulisi:
Organisaatioiden tulee laatia aihekohtaisia käytäntöjä, joissa käsitellään suoraan sitä, miten organisaatio varmuuskopioi verkostonsa asiaankuuluvia alueita henkilökohtaisten tunnistetietojen turvaamiseksi ja parantaakseen vastustuskykyä yksityisyyteen liittyvien tapausten varalta.
BUDR-menettelyt tulisi laatia ensisijaisen tavoitteen saavuttamiseksi kaikki liiketoimintakriittiset tiedot, ohjelmistot ja järjestelmät voidaan palauttaa seuraavaksi tietojen menetys, tunkeutumisen, liiketoiminnan keskeytys ja kriittisiä epäonnistumisia.
Ensisijaisesti BUDR-suunnitelmien tulee:
Organisaatioiden on kehitettävä erilliset menettelyt, jotka käsittelevät yksinomaan henkilökohtaisia tunnistetietoja (vaikkakin sisältyvät niiden pääasialliseen BUDR-suunnitelmaan).
PII BUDR -standardien alueelliset erot (sopimusperusteiset, oikeudelliset ja säädökset) tulee ottaa huomioon aina kun uusi työpaikka luodaan, työpaikkoja muutetaan tai uusia PII-tietoja lisätään BUDR-rutiiniin.
Aina kun tulee tarve palauttaa henkilökohtaisia tunnistetietoja BUDR-tapahtuman jälkeen, organisaatioiden tulee olla erittäin huolellisia palauttaakseen henkilökohtaisia tunnistetietoja alkuperäiseen tilaan ja tarkastella palautustoimenpiteitä uusiin tietoihin liittyvien ongelmien ratkaisemiseksi.
Organisaatioiden tulee pitää kirjaa palautustoimista, mukaan lukien palauttamiseen osallistuneista henkilöistä, sekä kuvaus palautetuista henkilökohtaisista tunnisteista.
Organisaatioiden tulee ottaa yhteyttä lainsäädäntöön tai sääntelyviranomaisiin ja varmistaa, että niiden henkilökohtaisten tunnistetietojen palautusmenettelyt ovat linjassa sen kanssa, mitä niiltä odotetaan henkilötietojen käsittelijänä ja rekisterinpitäjänä.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Organisaatioiden on ensin tunnistaa ja sitten ennätys erityiset syyt käyttämiensä henkilökohtaisten tunnistetietojen käsittelyyn.
PII-päämiesten on oltava täysin perillä kaikista eri syistä, miksi heidän henkilökohtaisia tunnistetietojaan käsitellään.
Organisaation vastuulla on välittää nämä syyt PII-päämiehille sekä "selkeä lausunto" siitä, miksi heidän on käsiteltävä tietojaan.
Kaikkien asiakirjojen on oltava selkeitä, kattavia ja helposti ymmärrettäviä kaikkien niitä lukevien henkilökohtaisten tunnistetietojen päämiesten – mukaan lukien kaiken suostumukseen liittyvän – sekä kopiot sisäisistä menettelyistä (katso ISO 27701:n kohdat 7.2.3, 7.3.2 ja 7.2.8).
Organisaatioiden on joko tuhottava kokonaan kaikki henkilötiedot, jotka eivät enää täytä tarkoitusta, tai muutettava niitä tavalla, joka estää kaikenlaisen pääasiallisen tunnistamisen.
Heti kun organisaatio toteaa, että henkilökohtaisia tunnistetietoja ei tarvitse käsitellä jatkossa, tiedot tulee Poistetaan or de-identifioituolosuhteiden mukaan.
Henkilökohtaisia tunnistetietoja tulee alusta alkaen käsitellä vain asiakkaan ohjeiden mukaisesti.
Sopimuksiin tulee sisältyä keskinäisiin tavoitteisiin liittyvät SLA-sopimukset ja niihin liittyvät aikataulut, joiden kuluessa ne on täytettävä.
Organisaatioiden tulee tunnustaa oikeutensa valita henkilökohtaisten tunnistetietojen käsittelyyn käytettävät erilliset menetelmät, joilla saavutetaan laillisesti asiakkaan etsimä, mutta ilman tarvetta hankkia yksityiskohtaisia lupia organisaation tekniseen käsittelyyn.
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27002 -säätimet |
---|---|---|
EU:n GDPR:n artikla 32 (3) | 5.2.1 | Ei eristetty |
EU:n GDPR:n artikla 32 (2) | 5.2.3 | Ei eristetty |
EU:n GDPR:n artikla 32 (2) | 5.2.4 | Ei eristetty |
EU:n GDPR:n artikla 32 (1) (b) ja 32 (2) | 5.4.1.2 | Ei eristetty |
EU:n GDPR 32 artiklan 1 kohdan b alakohta | 5.4.1.3 | Ei eristetty |
EU:n GDPR:n 32 artiklan 1 kohdan a alakohta | 6.11.1.2 | 5.17 8.2 8.5 |
EU:n GDPR:n artikla 32 (1) (b) ja 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU:n GDPR:n artikla 32 (1) (b), 32 (1) (d) ja 32 (2) | 6.15.2.1 | Ei eristetty |
EU:n GDPR:n artikla 32 (1) (d) ja (32) (2) | 6.15.2.3 | Ei eristetty |
EU:n GDPR:n artikla 32 (2) | 6.5.2.1 | Ei eristetty |
EU:n GDPR:n 32 artiklan 1 kohdan a alakohta | 6.5.3.1 | 5.14 |
EU:n GDPR:n 32 artiklan 1 kohdan a alakohta | 6.5.3.3 | 5.14 |
EU:n GDPR:n 32 artiklan 1 kohdan a alakohta | 6.7.1.1 | 5.31 8.24 |
EU:n GDPR artiklan 32 (1) (c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU:n GDPR:n artikla 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Ei eristetty |
EU:n GDPR:n 32 artiklan 1 kohdan a alakohta | 7.4.5 | Ei eristetty |
EU:n GDPR:n artikla 32 (4) | 8.2.2 | Ei eristetty |
ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti. Sinä WILL hyötyä valikoimasta tehokkaita aikaa säästäviä ominaisuuksia.
ISMS.onlinen avulla on myös helppo hypätä suoraan matkallesi kohti GDPR-vaatimustenmukaisuutta ja osoittaa helposti suojaustaso, joka ylittää "kohtuullisen", kaikki yhdessä turvallisessa, aina käytettävissä olevassa paikassa.
Lisätietoja: varata lyhyt 30 minuutin demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi