DSGVO Artikel 5 enthält die meisten Informationen, die aus ISO-Sicht berücksichtigt werden müssen.
Artikel 5 kann weitgehend als eine Reihe grundlegender Grundsätze angesehen werden, die sich durch die gesamte Gesetzgebung des Vereinigten Königreichs und der EU ziehen und zahlreiche verschiedene Bereiche der Einhaltung umfassen, darunter:
Organisationen müssen mit Artikel 5 vollständig vertraut sein, um die subtilen Nuancen der DSGVO in anderen Bereichen der Gesetzgebung besser zu verstehen.
Grundsätze zur Verarbeitung personenbezogener Daten
- Personenbezogene Daten sind:
- (a) in Bezug auf die betroffene Person rechtmäßig, fair und transparent verarbeitet werden („Rechtmäßigkeit, Fairness und Transparenz“);
- (b) für bestimmte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist; eine Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als mit den ursprünglichen Zwecken unvereinbar („Zweckbindung“);
- (c) angemessen, relevant und auf das für die Zwecke ihrer Verarbeitung erforderliche Maß beschränkt sein („Datenminimierung“);
- (d) korrekt und erforderlichenfalls auf dem neuesten Stand gehalten werden; Es müssen alle angemessenen Maßnahmen ergriffen werden, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- (e) in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; Personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern die personenbezogenen Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden, vorbehaltlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen Maßnahmen, die nach dieser Verordnung erforderlich sind, um die Rechte und Freiheiten der betroffenen Person zu schützen („Speicherbeschränkung“);
- (f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und vor unbeabsichtigtem Verlust, zufälliger Zerstörung oder Beschädigung, unter Verwendung geeigneter technischer oder organisatorischer Maßnahmen („Integrität und Vertraulichkeit“).;
- Der für die Verarbeitung Verantwortliche ist für die Einhaltung von Absatz 1 („Rechenschaftspflicht“) verantwortlich und kann die Einhaltung nachweisen.
Aus technischer Sicht stellt Artikel 5 weitgehend den rechtlichen Rahmen dar, innerhalb dessen Organisationen agieren sollten, um die Vorschriften einzuhalten, und zwar anhand von sechs Leitprinzipien:
Obwohl unglaublich vage, ist „Fairness“ eine allgemeine Anforderung der DSGVO und dient als Interpretationsinstrument für Situationen, die möglicherweise nicht gegen den Buchstaben des Gesetzes verstoßen, aber aus der Sicht einer Person und ihrer Person eindeutig nicht „fair“ sind Rechte.
„Transparenz“ erfordert, dass die betroffene Person sich der Verarbeitung ihrer Daten voll bewusst ist. Die DSGVO verlangt, dass der betroffenen Person bereitgestellte Informationen innerhalb eines angemessenen Zeitrahmens, leicht zugänglich und fehlerfrei bereitgestellt werden müssen.
In Artikel 5 der DSGVO heißt es, dass alle erfassten personenbezogenen Daten auf ganz bestimmte und legitime Zwecke beschränkt werden sollten und nicht für einen anderen als den ursprünglich vorgesehenen Zweck weiterverwendet werden sollten.
Die Datenminimierung gemäß Artikel 5 der DSGVO wird unter zwei Begriffen definiert – „Verarbeitung“ und „Zweck“. Im Wesentlichen müssen Organisationen sicherstellen, dass sie Daten nur im Mindestmaß verarbeiten, um ihren ursprünglichen Zweck zu erfüllen.
Die Daten sollten jederzeit korrekt und aktuell sein. Wenn sich herausstellt, dass Daten ungenau sind, heißt es in Artikel 5, dass Organisationen „angemessene Schritte“ unternehmen sollten, um etwaige Fehler zu korrigieren. Alles in allem müssen Einzelpersonen durch die über sie gespeicherten Daten angemessen dargestellt werden, damit Entscheidungen nicht auf der Grundlage eines falschen Eindrucks darüber getroffen werden, wer sie sind.
Organisationen müssen sich darüber im Klaren sein, dass Verarbeitungsvorgänge nicht ewig andauern sollten. Sobald eine Reihe anfänglicher Ziele erreicht sind, sollte die Datenverarbeitung eingestellt werden. Um dies zu erreichen, sollten Organisationen Speicherzeiten definieren, bevor sie Daten verarbeiten.
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Informationsübertragungsvorgänge sollten:
Bei der Nutzung elektronischer Übertragungsmöglichkeiten sollten Organisationen:
Bei der Übertragung physischer Medien (einschließlich Papierdokumente) zwischen Räumlichkeiten oder externen Standorten sollten Organisationen:
Die mündliche Übermittlung sensibler Informationen stellt ein besonderes Sicherheitsrisiko dar, insbesondere wenn es um personenbezogene Daten und den Schutz der Privatsphäre geht.
Organisationen sollten ihre Mitarbeiter daran erinnern:
Organisationen sollten Geheimhaltungsvereinbarungen (NDAs) und Vertraulichkeitsvereinbarungen nutzen, um die vorsätzliche oder versehentliche Weitergabe sensibler Informationen an unbefugtes Personal zu schützen.
Bei der Ausarbeitung, Umsetzung und Aufrechterhaltung solcher Vereinbarungen sollten Organisationen:
Vertraulichkeitsgesetze variieren von Gerichtsbarkeit zu Gerichtsbarkeit, und Organisationen sollten bei der Ausarbeitung von NDAs und Vertraulichkeitsvereinbarungen ihre eigenen gesetzlichen und behördlichen Verpflichtungen berücksichtigen (siehe ISO 27002-Kontrollen 5.31, 5.32, 5.33 und 5.34).
Anwendungssicherheitsverfahren sollten parallel zu umfassenderen Datenschutzrichtlinien entwickelt werden, in der Regel über eine strukturierte Risikobewertung, die mehrere Variablen berücksichtigt.
Zu den Anforderungen an die Anwendungssicherheit sollten Folgendes gehören:
Transaktionsdienste, die den Fluss von Datenschutzdaten zwischen der Organisation und einer Drittorganisation oder Partnerorganisation erleichtern, sollten:
Für alle Anwendungen, die elektronische Bestellungen und/oder Zahlungen beinhalten, sollten Organisationen:
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Seit der Migration konnten wir den Verwaltungsaufwand reduzieren.
Organisationen sollten Testdaten sorgfältig auswählen, um sicherzustellen, dass die Testaktivitäten sowohl zuverlässig als auch sicher sind. Unternehmen sollten besonders darauf achten, sicherzustellen, dass personenbezogene Daten nicht in die Entwicklungs- und Testumgebungen kopiert werden.
Um Betriebsdaten während der Testaktivitäten zu schützen, sollten Organisationen:
Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.
Dabei sollten Organisationen:
Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.
Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:
Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:
Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:
Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:
Wir hatten das Gefühl, wir hätten es getan
das Beste aus beiden Welten. Wir waren
in der Lage, unsere zu nutzen
bestehende Prozesse,
& das Adoptieren, Anpassen
Inhalte gaben uns Neues
Tiefe unseres ISMS.
Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:
Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren und verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.
Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.
Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:
Unternehmen sollten die Datensatzverwaltung in vier Schlüsselbereichen in Betracht ziehen:
Um ein funktionierendes Aufzeichnungssystem aufrechtzuerhalten, das personenbezogene Daten und datenschutzbezogene Informationen schützt, sollten Unternehmen:
Unternehmen sollten themenspezifische Richtlinien implementieren, die sich mit verschiedenen Kategorien von Endpunktgeräten und Softwareversionen mobiler Geräte befassen und wie Sicherheitskontrollen zur Verbesserung der Datensicherheit angepasst werden sollten.
Die Richtlinien, Verfahren und unterstützenden Sicherheitsmaßnahmen einer Organisation für Mobilgeräte sollten Folgendes berücksichtigen:
Jeder in der Organisation, der Fernzugriff nutzt, muss ausdrücklich über alle Richtlinien und Verfahren für mobile Geräte informiert werden, die im Rahmen der sicheren Endpunktgeräteverwaltung für ihn gelten.
Benutzer sollten angewiesen werden:
Organisationen, die ihren Mitarbeitern die Nutzung persönlicher Geräte gestatten, sollten außerdem die folgenden Sicherheitskontrollen berücksichtigen:
Bei der Ausarbeitung von Verfahren, die sich mit der drahtlosen Konnektivität auf Endpunktgeräten befassen, sollten Organisationen Folgendes tun:
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Anstatt alle gespeicherten Informationen gleichzustellen, sollten Organisationen die Informationen themenspezifisch klassifizieren.
Informationseigentümer sollten bei der Klassifizierung von Daten (insbesondere in Bezug auf PII) vier Schlüsselfaktoren berücksichtigen, die regelmäßig überprüft werden sollten, oder wenn sich solche Faktoren ändern:
Um einen klaren operativen Rahmen zu schaffen, sollten Informationskategorien entsprechend der inhärenten Risikostufe benannt werden, falls Vorfälle auftreten, die einen der oben genannten Faktoren beeinträchtigen.
Um die plattformübergreifende Kompatibilität sicherzustellen, sollten Organisationen ihre Informationskategorien allen externen Mitarbeitern zugänglich machen, mit denen sie Informationen teilen, und sicherstellen, dass das eigene Klassifizierungsschema der Organisation von allen relevanten Parteien allgemein verstanden wird.
Organisationen sollten sich davor hüten, Daten entweder zu niedrig oder umgekehrt zu klassifizieren. Ersteres kann zu Fehlern bei der Gruppierung personenbezogener Daten in weniger sensible Datentypen führen, während Ersteres häufig zu zusätzlichen Kosten, einem größeren Risiko menschlicher Fehler und Verarbeitungsanomalien führt.
Etiketten sind ein wesentlicher Bestandteil, um sicherzustellen, dass die PII-Klassifizierungsrichtlinie der Organisation (siehe oben) eingehalten wird und dass Daten entsprechend ihrer Sensibilität eindeutig identifiziert werden können (z. B. werden PII als von weniger vertraulichen Datentypen unterschieden gekennzeichnet).
PII-Kennzeichnungsverfahren sollten Folgendes definieren:
Die ISO bietet Organisationen viel Spielraum für die Auswahl ihrer eigenen Kennzeichnungstechniken, darunter:
Bei der Entwicklung von Richtlinien, die den Umgang mit Medienbeständen im Zusammenhang mit der Speicherung personenbezogener Daten regeln, sollten Organisationen Folgendes tun:
Bei der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten strenge Verfahren eingeführt werden, um sicherzustellen, dass personenbezogene Daten in keiner Weise beeinträchtigt werden, einschließlich:
Wenn Geräte, die zur Speicherung personenbezogener Daten verwendet wurden, beschädigt werden, sollten Organisationen sorgfältig abwägen, ob es angemessener ist, diese Medien zu vernichten oder sie zur Reparatur einzusenden (wobei Ersteres einen Fehler macht).
See ISO 27701 Abschnitt 6.5.3.1
Wenn Medien mit zuvor gespeicherten PII entsorgt werden sollen, sollten Organisationen Verfahren implementieren, die die Vernichtung PII und datenschutzrelevanter Daten dokumentieren, einschließlich der kategorischen Zusicherung, dass sie nicht mehr verfügbar sind.
Bei der Implementierung von Richtlinien, die sich mit Wechselmedien befassen, sollten Organisationen Folgendes tun:
Organisationen sollten gründliche Aufzeichnungen über alle Speichermedien führen, die zur Verarbeitung vertraulicher Informationen verwendet werden, einschließlich:
Während des gesamten Prozesses der Umnutzung, Wiederverwendung oder Entsorgung von Speichermedien sollten Unternehmen:
Die Benutzerregistrierung wird durch die Verwendung zugewiesener „Identitäten“ geregelt. Identitäten bieten Organisationen einen Rahmen, um den Benutzerzugriff auf PII und datenschutzbezogene Vermögenswerte und Materialien innerhalb der Grenzen eines Netzwerks zu steuern.
Die Organisation muss sechs Hauptrichtlinien befolgen, um sicherzustellen, dass Identitäten korrekt verwaltet werden und PII geschützt sind, wo immer sie gespeichert, verarbeitet oder abgerufen werden:
Organisationen, die mit externen Organisationen (insbesondere cloudbasierten Plattformen) zusammenarbeiten, sollten die mit solchen Praktiken verbundenen Risiken verstehen und Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch den Prozess nicht beeinträchtigt werden (siehe ISO 27002-Kontrollen 5.19 und 5.17).
Unser jüngster Erfolg bei der Zertifizierung nach ISO 27001, 27017 und 27018 ist zu einem großen Teil ISMS.online zu verdanken.
Wir sind kostengünstig und schnell
„Zugriffsrechte“ regeln, wie der Zugriff auf personenbezogene Daten und datenschutzbezogene Informationen sowohl gewährt als auch widerrufen wird, wobei dieselben Leitprinzipien gelten.
Zugangsverfahren sollten Folgendes umfassen:
Organisationen sollten regelmäßige Überprüfungen der Zugriffsrechte im gesamten Netzwerk durchführen, einschließlich:
Bei Mitarbeitern, die das Unternehmen entweder vorsätzlich oder als gekündigter Mitarbeiter verlassen, und bei denen eine Änderungsanforderung vorliegt, sollten die Zugriffsrechte auf der Grundlage robuster Risikomanagementverfahren geändert werden, darunter:
Arbeitsverträge und Auftragnehmer-/Dienstleistungsverträge sollten eine Erläuterung darüber enthalten, was nach unbefugten Zugriffsversuchen passiert (siehe ISO 27002-Kontrollen 5.20, 6.2, 6.4, 6.6).
PII und datenschutzbezogene Vermögenswerte müssen in einem Netzwerk gespeichert werden, das über eine Reihe von Authentifizierungskontrollen verfügt, darunter:
Um das Risiko eines unbefugten Zugriffs auf PII zu verhindern und zu minimieren, sollten Unternehmen:
PII und datenschutzbezogene Informationen sind besonders gefährdet, wenn die Notwendigkeit besteht, Speicher- und Verarbeitungsressourcen zu entsorgen oder einer anderen Verwendung zuzuführen – entweder intern oder in Zusammenarbeit mit einem spezialisierten Drittanbieter.
Organisationen müssen vor allem sicherstellen, dass alle zur Entsorgung gekennzeichneten Speichermedien, die personenbezogene Daten enthalten, entsorgt werden physisch zerstört, abgewischt or überschrieben (siehe ISO 27002 Control 7.10 und 8.10).
Um zu verhindern, dass personenbezogene Daten in irgendeiner Weise gefährdet werden, sollten Unternehmen bei der Entsorgung oder Wiederverwendung von Vermögenswerten Folgendes tun:
PII und datenschutzbezogene Informationen sind besonders gefährdet, wenn unvorsichtige Mitarbeiter und Drittunternehmer die Sicherheitsmaßnahmen am Arbeitsplatz nicht einhalten, die vor dem versehentlichen oder absichtlichen Einsehen von PII durch unbefugtes Personal schützen.
Organisationen sollten themenspezifische Richtlinien für freie Schreibtische und freie Bildschirme entwerfen (gegebenenfalls für jeden einzelnen Arbeitsbereich), die Folgendes umfassen:
Wenn Organisationen kollektiv Räumlichkeiten verlassen – beispielsweise während eines Büroumzugs oder eines ähnlichen Umzugs –, sollten Anstrengungen unternommen werden, um sicherzustellen, dass keine Unterlagen zurückbleiben, weder auf Schreibtischen und in Ablagesystemen, noch solche, die möglicherweise an unauffällige Orte gefallen sind.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Nehmen Sie sich 30 Minuten Zeit, um zu sehen, wie ISMS.online Ihnen Stunden (und Stunden!) spart.
Buchen Sie ein MeetingOrganisationen sollten themenspezifische Richtlinien entwerfen, die sich direkt damit befassen, wie die Organisation die relevanten Bereiche ihres Netzwerks sichert, um personenbezogene Daten zu schützen und die Widerstandsfähigkeit gegen datenschutzbezogene Vorfälle zu verbessern.
BUDR-Verfahren sollten entworfen werden, um das vorrangige Ziel zu erreichen, dies sicherzustellen alle Geschäftskritische Daten, Software und Systeme können anschließend wiederhergestellt werden Data Loss, Intrusion, Betriebsunterbrechung und Kritische Ausfälle.
Die BUDR-Pläne sollten vorrangig Folgendes umfassen:
Organisationen müssen separate Verfahren entwickeln, die sich ausschließlich mit personenbezogenen Daten befassen (auch wenn diese in ihrem Haupt-BUDR-Plan enthalten sind).
Regionale Unterschiede in den PII-BUDR-Standards (vertraglich, gesetzlich und behördlich) sollten berücksichtigt werden, wenn ein neuer Arbeitsplatz geschaffen, Arbeitsplätze geändert oder neue PII-Daten zur BUDR-Routine hinzugefügt werden.
Wenn nach einem BUDR-Vorfall die Notwendigkeit besteht, personenbezogene Daten wiederherzustellen, sollten Unternehmen große Sorgfalt darauf verwenden, die personenbezogenen Daten wieder in ihren ursprünglichen Zustand zu versetzen, und die Wiederherstellungsaktivitäten überprüfen, um etwaige Probleme mit den neuen Daten zu beheben.
Organisationen sollten ein Protokoll der Wiederherstellungsaktivitäten führen, einschließlich aller an der Wiederherstellung beteiligten Mitarbeiter sowie eine Beschreibung der wiederhergestellten personenbezogenen Daten.
Organisationen sollten sich bei allen Gesetzgebungs- oder Regulierungsbehörden erkundigen und sicherstellen, dass ihre PII-Wiederherstellungsverfahren mit den Erwartungen an sie als PII-Verarbeiter und -Controller übereinstimmen.
ISO definiert ein „Ereignis“ als jede Aktion, die von einer digitalen oder physischen Präsenz/Entität auf einem Computersystem ausgeführt wird.
Ereignisprotokolle sollten Folgendes enthalten:
ISO identifiziert 11 Ereignisse/Komponenten, die eine Protokollierung erfordern (und mit derselben Zeitquelle verknüpft sind – siehe ISO 27002 Control 8.17), um die PII-Sicherheit aufrechtzuerhalten und den Datenschutz der Organisation zu verbessern:
Protokolle sollten vor unbefugten Änderungen oder Betriebsanomalien geschützt werden, einschließlich:
Organisationen sollten sich mit den folgenden Techniken befassen, um die protokollbasierte Sicherheit zu verbessern:
Wenn die Notwendigkeit besteht, Protokolle an externe Organisationen weiterzugeben, sollten strenge Maßnahmen ergriffen werden, um personenbezogene Daten und datenschutzbezogene Informationen im Einklang mit anerkannten Datenschutzstandards zu schützen (siehe ISO 27002 Control 5.34 und zusätzliche Leitlinien unten).
Protokolle müssen von Zeit zu Zeit analysiert werden, um den Datenschutz insgesamt zu verbessern und Sicherheitsverletzungen sowohl zu beheben als auch zu verhindern.
Bei der Durchführung einer Protokollanalyse sollten Organisationen Folgendes berücksichtigen:
Die Protokollüberwachung bietet Unternehmen die Möglichkeit, personenbezogene Daten an der Quelle zu schützen und einen proaktiven Ansatz zum Schutz der Privatsphäre zu fördern.
Organisationen sollten:
ISO verlangt von Organisationen, Protokolle im Zusammenhang mit personenbezogenen Daten durch ein „Überwachungsprotokoll“ zu überwachen.kontinuierlicher und automatisierter Überwachungs- und Alarmierungsprozess'. Dies kann einen separaten Satz von Verfahren erforderlich machen, die den Zugriff auf personenbezogene Daten überwachen.
Organisationen sollten vorrangig sicherstellen, dass Protokolle einen klaren Überblick über den Zugriff auf PII bieten, einschließlich:
Organisationen sollten entscheiden:ob, wann und wie„ PII-Protokollinformationen sollten den Kunden zur Verfügung gestellt werden, wobei alle Kriterien den Auftraggebern selbst frei zugänglich gemacht werden sollten und große Sorgfalt darauf verwendet wird, sicherzustellen, dass PII-Auftraggeber nur auf die sie betreffenden Informationen zugreifen können.
Siehe ISO 27701 Abschnitt 6.9.4.1
Organisationen sollten viel Aufmerksamkeit darauf verwenden, sicherzustellen, dass Protokolle, die PII enthalten, ordnungsgemäß kontrolliert werden und von einer sicheren Überwachung profitieren.
Es sollten automatisierte Verfahren eingerichtet werden, die Protokolle im Einklang mit einer veröffentlichten Aufbewahrungsrichtlinie entweder löschen oder „de-identifizieren“ (siehe ISO 27002 Control 7.4.7).
PII-Auftraggeber müssen mit den verschiedenen Gründen für die Verarbeitung ihrer PII vollständig vertraut sein.
Es liegt in der Verantwortung der Organisation, diese Gründe den PII-Leitern mitzuteilen, zusammen mit einer „klaren Erklärung“, warum sie ihre Informationen verarbeiten müssen.
Die gesamte Dokumentation muss klar, umfassend und für jeden PII-Auftraggeber, der sie liest, leicht verständlich sein – einschließlich aller Unterlagen im Zusammenhang mit der Einwilligung sowie Kopien interner Verfahren (siehe ISO 27701, Abschnitte 7.2.3, 7.3.2 und 7.2.8).
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Mit ISMS.online sparen Sie Zeit und Geld
Holen Sie sich Ihr AngebotUm eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen:
Für jeden oben genannten Punkt sollten Organisationen eine dokumentierte Bestätigung anbieten können
Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).
Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.
Organisationen müssen mit jedem externen PII-Verarbeiter, den sie nutzen, schriftliche, verbindliche Verträge abschließen.
Alle Verträge müssen sicherstellen, dass der PII-Verarbeiter alle in ISO 27701 Anhang B enthaltenen erforderlichen Informationen umsetzt, mit besonderem Augenmerk auf Risikobewertungskontrollen (ISO 27701 Abschnitt 5.4.1.2) und den Gesamtumfang der Verarbeitungsaktivitäten (siehe ISO 27701 Abschnitt 6.12). ).
Organisationen müssen in der Lage sein, das Weglassen von in Anhang B enthaltenen Kontrollen in ihrer Beziehung zum PII-Verarbeiter zu rechtfertigen (siehe ISO 27701 Abschnitt 5.4.1.3).
Organisationen müssen umfassende Aufzeichnungen führen, die ihre Handlungen und Pflichten als PII-Verarbeiter unterstützen.
Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:
Organisationen sollten Verfahren entwerfen, dokumentieren und implementieren, die es PII-Prinzipalen ermöglichen, auf ihre PII zuzugreifen, diese zu korrigieren und/oder zu löschen.
Die Verfahren sollten Mechanismen umfassen, mit denen der PII-Auftraggeber die oben genannte Aktion durchführen kann, einschließlich der Art und Weise, wie die Organisation den Auftraggeber informieren soll, wenn Korrekturen nicht vorgenommen werden können.
Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Zugriffs-, Korrektur- oder Löschanfragen verpflichten.
Es ist von entscheidender Bedeutung, solche Anfragen an Dritte weiterzuleiten, denen PII übertragen wurden (siehe ISO 27701 Abschnitt 7.3.7).
Die Möglichkeit eines PII-Auftraggebers, Korrekturen oder Löschungen zu beantragen, hängt von der Gerichtsbarkeit ab, in der die Organisation tätig ist. Daher sollten Unternehmen sich über alle rechtlichen oder behördlichen Änderungen auf dem Laufenden halten, die ihre Verpflichtungen gegenüber PII regeln.
Organisationen sollten die Sammlung personenbezogener Daten anhand von drei Faktoren einschränken:
Organisationen sollten PII – entweder direkt oder indirekt – nur in Übereinstimmung mit den oben genannten Faktoren und nur für Zwecke sammeln, die für ihren angegebenen Zweck relevant und notwendig sind.
Als Konzept sollte „Privacy by Default“ eingehalten werden, d. h. alle optionalen Funktionen sollten standardmäßig deaktiviert sein.
Unternehmen sollten Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten während ihres gesamten Lebenszyklus korrekt, vollständig und aktuell sind.
Organisatorische Informationssicherheitsrichtlinien und technische Konfigurationen sollten Schritte enthalten, die darauf abzielen, Fehler während des gesamten PII-Verarbeitungsvorgangs zu minimieren, einschließlich Kontrollen, wie auf Ungenauigkeiten reagiert werden soll.
Organisationen müssen Verfahren zur „Datenminimierung“ entwickeln, einschließlich Mechanismen wie der Anonymisierung.
Durch Datenminimierung sollte sichergestellt werden, dass die Erhebung und Verarbeitung personenbezogener Daten auf den „identifizierten Zweck“ jeder Funktion beschränkt ist (siehe ISO 27701 Abschnitt 7.2.1).
Ein großer Teil dieses Prozesses besteht darin, zu dokumentieren, inwieweit die Informationen eines PII-Auftraggebers ihm direkt zuzuordnen sein sollten und wie eine Minimierung mithilfe einer Vielzahl verfügbarer Methoden erreicht werden kann.
Organisationen sollten die spezifischen Techniken erläutern, die zur Anonymisierung personenbezogener Daten verwendet werden, wie zum Beispiel:
Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.
Sobald die Organisation festgestellt hat, dass die personenbezogenen Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.
Temporäre Dateien werden aus verschiedenen technischen Gründen während des gesamten Lebenszyklus der PII-Verarbeitung und -Erfassung in zahlreichen Anwendungen, Systemen und Sicherheitsplattformen erstellt.
Organisationen müssen sicherstellen, dass diese Dateien gemäß einer offiziellen Aufbewahrungsrichtlinie innerhalb eines angemessenen Zeitraums vernichtet werden.
Eine einfache Möglichkeit, das Vorhandensein solcher Dateien festzustellen, besteht darin, regelmäßig temporäre Überprüfungen im gesamten Netzwerk durchzuführen. Temporäre Dateien umfassen häufig:
Organisationen sollten sich an ein sogenanntes halten Garbage-Collection-Verfahren Dadurch werden temporäre Dateien gelöscht, wenn sie nicht mehr benötigt werden.
Organisationen müssen über klare Richtlinien und Verfahren verfügen, die regeln, wie personenbezogene Daten entsorgt werden.
Die Datenentsorgung ist ein weitreichendes Thema, das eine Vielzahl verschiedener Variablen umfasst, basierend auf der erforderlichen Entsorgungstechnik und der Art der zu entsorgenden Daten.
Organisationen müssen Folgendes berücksichtigen:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Alle personenbezogenen Daten, die an eine Drittorganisation übertragen werden sollen, sollten mit größter Sorgfalt bei der Übermittlung der Informationen und unter Verwendung sicherer Mittel erfolgen.
Unternehmen müssen sicherstellen, dass nur autorisiertes Personal auf Übertragungssysteme zugreifen kann, und zwar auf eine leicht überprüfbare Weise, mit dem alleinigen Zweck, die Informationen ohne Zwischenfälle dorthin zu bringen, wo sie hin müssen.
Die Verarbeitung personenbezogener Daten sollte von Beginn an ausschließlich nach den Weisungen des Kunden erfolgen.
Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.
Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.
Organisationen müssen sicherstellen, dass temporäre Dateien innerhalb einer angemessenen Zeitspanne gemäß einer offiziellen Aufbewahrungsrichtlinie und klaren Löschverfahren vernichtet werden.
Eine einfache Möglichkeit, das Vorhandensein solcher Dateien festzustellen, besteht darin, regelmäßig temporäre Überprüfungen im gesamten Netzwerk durchzuführen.
Organisationen sollten sich an ein sogenanntes halten Garbage-Collection-Verfahren Dadurch werden temporäre Dateien gelöscht, wenn sie nicht mehr benötigt werden.
Wann immer die Notwendigkeit besteht, personenbezogene Daten über ein Datennetzwerk (einschließlich einer dedizierten Verbindung) zu übertragen, müssen Organisationen darauf achten, sicherzustellen, dass die personenbezogenen Daten rechtzeitig die richtigen Empfänger erreichen.
Bei der Übertragung personenbezogener Daten zwischen Datennetzwerken sollten Organisationen Folgendes tun:
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.10.2.1 | 5.13 8.7 8.24 |
EU-DSGVO Artikel 5 Absatz 1 | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.11.1.2 | 5.17 8.2 8.5 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.11.3.1 | 8.10 8.11 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.15.1.1 | 5.20 |
EU-DSGVO Artikel 5 (2) | 6.15.1.3 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.3.2.1 | 8.9 8.16 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.5.2.1 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.5.2.2 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.5.3.1 | 5.14 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.5.3.2 | 5.14 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.6.2.1 | 5.17 5.19 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.6.4.2 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.8.2.7 | 7.10 8.10 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.8.2.9 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.9.3.1 | 5.30 8.1 8.10 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe b | 7.2.1 | Andere |
EU-DSGVO Artikel 5 (1)(a) | 7.2.2 | Andere |
EU-DSGVO Artikel 5 (2) | 7.2.8 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe d | 7.3.6 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe b | 7.4.1 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe d | 7.4.3 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe c | 7.4.4 | Andere |
EU-DSGVO Art. 5 Abs. 1 lit. c, Art. 5 Abs. 1 lit. e | 7.4.5 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe c | 7.4.6 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 7.4.8 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 7.4.9 | Andere |
EU-DSGVO Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. b | 8.2.2 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe c | 8.4.1 | Andere |
EU-DSGVO Artikel 5 Absatz 1 Buchstabe f | 8.4.3 | Andere |
Ihre komplette DSGVO-Lösung.
Eine vorgefertigte Umgebung, die sich nahtlos in Ihr Managementsystem einfügt, ermöglicht es Ihnen, Ihren Ansatz zum Schutz europäischer und britischer Kundendaten zu beschreiben und zu demonstrieren.
Mit ISMS.online können Sie direkt in die DSGVO-Konformität einsteigen und ein Schutzniveau nachweisen, das über das „angemessene“ hinausgeht – und das alles an einem sicheren, immer verfügbaren Ort.
In Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“ bietet die ISMS.online-Plattform eine integrierte Anleitung bei jedem Schritt und reduziert so den Aufwand für den Nachweis Ihrer DSGVO-Konformität. Darüber hinaus stehen Ihnen zahlreiche leistungsstarke zeitsparende Funktionen zur Verfügung.
Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Entdecken Sie den besten Weg zum ISMS-Erfolg
Holen Sie sich Ihren kostenlosen Ratgeber