DSGVO Artikel 32 besagt, dass Organisationen verschiedene Maßnahmen ergreifen müssen, um ein angemessenes Maß an Sicherheit in ihrem gesamten Datenverarbeitungsbetrieb zu erreichen.
Um dies zu erreichen, müssen Organisationen Folgendes berücksichtigen:
Sicherheit der Verarbeitung
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen werden der Verantwortliche und der Auftragsverarbeiter die Umsetzung durchführen geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus, einschließlich gegebenenfalls:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen.
- Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
- Ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung einhergehen, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
- Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in Absatz 1 dieses Artikels genannten Anforderungen herangezogen werden.
- Der Verantwortliche und der Auftragsverarbeiter ergreifen Maßnahmen, um sicherzustellen, dass eine natürliche Person, die unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters handelt und Zugriff auf personenbezogene Daten hat, diese nur auf Weisung des Verantwortlichen verarbeitet, es sei denn, sie ist dazu verpflichtet Unionsrecht oder Recht der Mitgliedstaaten.
Sicherheit der Verarbeitung
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen werden der Verantwortliche und der Auftragsverarbeiter die Umsetzung durchführen geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus, einschließlich gegebenenfalls:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen.
- Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
- Ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung einhergehen, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
- Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Element zum Nachweis der Einhaltung der in Absatz 1 dieses Artikels genannten Anforderungen herangezogen werden.
- Der Verantwortliche und der Auftragsverarbeiter ergreifen Maßnahmen, um sicherzustellen, dass eine natürliche Person, die unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters handelt und Zugriff auf personenbezogene Daten hat, diese nur auf Weisung des Verantwortlichen verarbeitet, es sei denn, sie ist dazu verpflichtet innerstaatliches Recht.
Seit der Migration konnten wir den Verwaltungsaufwand reduzieren.
Artikel 32 der DSGVO verlangt von Organisationen, bei der Datenverarbeitung einen risikobasierten Ansatz zu verfolgen, der mehrere Schlüsselvariablen berücksichtigt:
Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.
Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.
Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.
Das beinhaltet:
ISO empfiehlt eine gründliche Scoping-Übung, damit Unternehmen in der Lage sind, ein PIMS zu erstellen, das erstens seine Datenschutzanforderungen erfüllt und zweitens nicht in Bereiche des Unternehmens eindringt, die keiner Aufmerksamkeit bedürfen.
Organisationen sollten Folgendes festlegen und dokumentieren:
Alle Scoping-Übungen, die eine PIMS-Implementierung abbilden, sollten eine gründliche Bewertung der PII-Verarbeitungs- und Speicheraktivitäten umfassen.
Organisationen sollten versuchen, ein Privacy Information Management System (PIMS) im Einklang mit veröffentlichten ISO-Standards zu implementieren, zu verwalten und zu optimieren.
Organisationen sollten einen Risikobewertungsprozess für den Datenschutz entwerfen und implementieren, der:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Organisationen sollten einen Datenschutz-/PII-„Risikobehandlungsprozess“ entwerfen und implementieren, der:
Anwendungssicherheitsverfahren sollten parallel zu umfassenderen Datenschutzrichtlinien entwickelt werden, in der Regel über eine strukturierte Risikobewertung, die mehrere Variablen berücksichtigt.
Zu den Anforderungen an die Anwendungssicherheit sollten Folgendes gehören:
Transaktionsdienste, die den Fluss von Datenschutzdaten zwischen der Organisation und einer Drittorganisation oder Partnerorganisation erleichtern, sollten:
Für alle Anwendungen, die elektronische Bestellungen und/oder Zahlungen beinhalten, sollten Organisationen:
Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.
Dabei sollten Organisationen:
Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
In diesem Abschnitt sprechen wir über die Artikel 32 (1)(b), 32 (1)(d), 32 (2) der DSGVO.
Organisationen sollten Prozesse entwickeln, die eine unabhängige Überprüfung ihrer Datenschutzpraktiken zur Informationssicherheit ermöglichen, einschließlich sowohl themenspezifischer als auch allgemeiner Richtlinien.
Überprüfungen sollten durchgeführt werden von:
Überprüfungen sollten unabhängig sein und von Personen durchgeführt werden, die über ausreichende Kenntnisse der Datenschutzrichtlinien und der eigenen Verfahren der Organisation verfügen.
Prüfer sollten feststellen, ob die Datenschutzpraktiken zur Informationssicherheit den „dokumentierten Zielen und Anforderungen“ der Organisation entsprechen.
Neben strukturierten regelmäßigen Überprüfungen müssen Unternehmen möglicherweise auch Ad-hoc-Überprüfungen durchführen, die durch bestimmte Ereignisse ausgelöst werden, darunter:
Unternehmen müssen sicherstellen, dass das Personal in der Lage ist, Datenschutzrichtlinien im gesamten Spektrum des Geschäftsbetriebs einzusehen.
Das Management sollte technische Methoden für die Berichterstattung über die Einhaltung der Datenschutzvorschriften entwickeln (einschließlich Automatisierung und maßgeschneiderter Tools). Berichte sollten aufgezeichnet, gespeichert und analysiert werden, um die Bemühungen zur PII-Sicherheit und zum Schutz der Privatsphäre weiter zu verbessern.
Wenn Compliance-Probleme entdeckt werden, sollten Unternehmen:
Es ist von entscheidender Bedeutung, so schnell wie möglich Korrekturmaßnahmen zu ergreifen. Wenn Probleme bis zum Zeitpunkt der nächsten Überprüfung nicht vollständig gelöst sind, sollten zumindest Nachweise vorgelegt werden, die belegen, dass Fortschritte erzielt werden.
Anstatt alle gespeicherten Informationen gleichzustellen, sollten Organisationen die Informationen themenspezifisch klassifizieren.
Informationseigentümer sollten bei der Klassifizierung von Daten (insbesondere in Bezug auf PII) vier Schlüsselfaktoren berücksichtigen, die regelmäßig überprüft werden sollten, oder wenn sich solche Faktoren ändern:
Um einen klaren operativen Rahmen zu schaffen, sollten Informationskategorien entsprechend der inhärenten Risikostufe benannt werden, falls Vorfälle auftreten, die einen der oben genannten Faktoren beeinträchtigen.
Um die plattformübergreifende Kompatibilität sicherzustellen, sollten Organisationen ihre Informationskategorien allen externen Mitarbeitern zugänglich machen, mit denen sie Informationen teilen, und sicherstellen, dass das eigene Klassifizierungsschema der Organisation von allen relevanten Parteien allgemein verstanden wird.
Organisationen sollten sich davor hüten, Daten entweder zu niedrig oder umgekehrt zu klassifizieren. Ersteres kann zu Fehlern bei der Gruppierung personenbezogener Daten in weniger sensible Datentypen führen, während Ersteres häufig zu zusätzlichen Kosten, einem größeren Risiko menschlicher Fehler und Verarbeitungsanomalien führt.
Bei der Entwicklung von Richtlinien, die den Umgang mit Medienbeständen im Zusammenhang mit der Speicherung personenbezogener Daten regeln, sollten Organisationen Folgendes tun:
Bei der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten strenge Verfahren eingeführt werden, um sicherzustellen, dass personenbezogene Daten in keiner Weise beeinträchtigt werden, einschließlich:
Wenn Geräte, die zur Speicherung personenbezogener Daten verwendet wurden, beschädigt werden, sollten Organisationen sorgfältig abwägen, ob es angemessener ist, diese Medien zu vernichten oder sie zur Reparatur einzusenden (wobei Ersteres einen Fehler macht).
ISO warnt Organisationen davor, unverschlüsselte Speichergeräte zu verwenden jedem PII-bezogene Aktivitäten.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Wir sind kostengünstig und schnell
Siehe Abschnitt oben zu ISO 27701 Abschnitt 6.5.3.1
Wenn Medien mit zuvor gespeicherten PII entsorgt werden sollen, sollten Organisationen Verfahren implementieren, die die Vernichtung PII und datenschutzrelevanter Daten dokumentieren, einschließlich der kategorischen Zusicherung, dass sie nicht mehr verfügbar sind.
Organisationen sollten Verschlüsselung verwenden, um die zu schützen Vertraulichkeit, Authentizität und Integrität von PII und datenschutzbezogenen Informationen sowie zur Einhaltung verschiedener vertraglicher, gesetzlicher oder behördlicher Verpflichtungen.
Verschlüsselung ist ein weitreichendes Konzept – es gibt keinen einheitlichen Ansatz. Unternehmen sollten ihre Bedürfnisse beurteilen und eine kryptografische Lösung wählen, die ihren individuellen kommerziellen und betrieblichen Zielen entspricht.
Organisationen sollten Folgendes berücksichtigen:
Wichtige Verwaltungsverfahren sollten auf sieben Hauptfunktionen verteilt sein:
Organisatorische Schlüsselverwaltungssysteme sollten:
Organisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.
BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.
Die BUDR-Pläne sollten vorrangig Folgendes umfassen:
Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).
Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.
Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.
Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.
Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Organisationen müssen zuerst identifizieren und dann Rekord die spezifischen Gründe für die Verarbeitung der von ihnen verwendeten PII.
PII-Auftraggeber müssen mit den verschiedenen Gründen für die Verarbeitung ihrer PII vollständig vertraut sein.
Es liegt in der Verantwortung der Organisation, diese Gründe den PII-Leitern mitzuteilen, zusammen mit einer „klaren Erklärung“, warum sie ihre Informationen verarbeiten müssen.
Die gesamte Dokumentation muss klar, umfassend und für jeden PII-Auftraggeber, der sie liest, leicht verständlich sein – einschließlich aller Unterlagen im Zusammenhang mit der Einwilligung sowie Kopien interner Verfahren (siehe ISO 27701, Abschnitte 7.2.3, 7.3.2 und 7.2.8).
Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.
Sobald die Organisation feststellt, dass personenbezogene Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.
Die Verarbeitung personenbezogener Daten sollte von Beginn an ausschließlich nach den Weisungen des Kunden erfolgen.
Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.
Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 32 (3) | 5.2.1 | Keine |
EU-DSGVO Artikel 32 (2) | 5.2.3 | Keine |
EU-DSGVO Artikel 32 (2) | 5.2.4 | Keine |
EU-DSGVO Artikel 32 (1)(b) und 32 (2) | 5.4.1.2 | Keine |
EU-DSGVO Artikel 32 Absatz 1 Buchstabe b | 5.4.1.3 | Keine |
EU-DSGVO Artikel 32 (1)(a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU-DSGVO Artikel 32 (1)(b) und 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU-DSGVO Artikel 32 (1)(b), 32 (1)(d) und 32 (2) | 6.15.2.1 | Keine |
EU-DSGVO Art. 32 Abs. 1 lit. d und Abs. 32 Nr. 2 | 6.15.2.3 | Keine |
EU-DSGVO Artikel 32 (2) | 6.5.2.1 | Keine |
EU-DSGVO Artikel 32 (1)(a) | 6.5.3.1 | 5.14 |
EU-DSGVO Artikel 32 (1)(a) | 6.5.3.3 | 5.14 |
EU-DSGVO Artikel 32 (1)(a) | 6.7.1.1 | 5.31 8.24 |
EU-DSGVO Artikel 32 Absatz 1 Buchstabe c | 6.9.3.1 | 5.30 8.1 8.10 |
EU-DSGVO Artikel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Keine |
EU-DSGVO Artikel 32 (1)(a) | 7.4.5 | Keine |
EU-DSGVO Artikel 32 (4) | 8.2.2 | Keine |
Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird. Du WILL Profitieren Sie von einer Reihe leistungsstarker zeitsparender Funktionen.
ISMS.online erleichtert Ihnen außerdem den direkten Einstieg in die Einhaltung der DSGVO und den Nachweis eines Schutzniveaus, das über „angemessen“ hinausgeht – und das alles an einem sicheren, stets verfügbaren Ort.
Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Entdecken Sie den besten Weg zum ISMS-Erfolg
Holen Sie sich Ihren kostenlosen Ratgeber