ISO 27701 Abschnitt 7.4.1 – Sammlung beschränken
Zweck von Abschnitt 7.4.1
Organisationen sollten die Sammlung personenbezogener Daten anhand von drei Faktoren einschränken:
- Relevanz.
- Verhältnismäßigkeit.
- Notwendigkeit.
Anleitung zu Abschnitt 7.4.1
Organisationen sollten PII – entweder direkt oder indirekt – nur in Übereinstimmung mit den oben genannten Faktoren und nur für Zwecke sammeln, die für ihren angegebenen Zweck relevant und notwendig sind.
Als Konzept sollte „Privacy by Default“ eingehalten werden, d. h. alle optionalen Funktionen sollten standardmäßig deaktiviert sein.
ISO 27701 Abschnitt 7.4.2 – Verarbeitung einschränken
Zweck von Abschnitt 7.4.2
Ergänzend zu ISO 27701 7.4.1 sollten Organisationen auch PII nur dann verarbeiten, wenn sie relevant, verhältnismäßig und notwendig sind, um einen angegebenen Zweck zu erfüllen.
Anleitung zu Abschnitt 7.4.2
Die PII-Verarbeitung umfasst:
- Offenlegung.
- Lagerung.
- Zugänglichkeit.
Alle oben genannten Funktionen sollten im Mindestmaß ausgeführt werden, das zur Erfüllung eines Ziels erforderlich ist.
Organisationen sollten die Verarbeitung personenbezogener Daten in Verbindung mit veröffentlichten Informationssicherheitsprozessen, -richtlinien und -verfahren einschränken (siehe ISO 27701 Abschnitt 6.2).
Relevante ISO 27701-Klauseln
- ISO 27701 6.2
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 7.4.3 – Genauigkeit und Qualität
Zweck von Abschnitt 7.4.3
Organisationen sollten Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten geschützt sind genau, gesamten kombiniert mit einem nachhaltigen Materialprofil. auf dem neusten Stand, über den gesamten Lebenszyklus hinweg.
Anleitung zu Abschnitt 7.4.3
Organisatorische Informationssicherheitsrichtlinien und technische Konfigurationen sollten Schritte enthalten, die darauf abzielen, Fehler während des gesamten PII-Verarbeitungsvorgangs zu minimieren, einschließlich Kontrollen, wie auf Ungenauigkeiten reagiert werden soll.
ISO 27701 Abschnitt 7.4.4 – PII-Minimierungsziele
Zweck von Abschnitt 7.4.4
Organisationen müssen Verfahren zur „Datenminimierung“ entwickeln, einschließlich Mechanismen wie der Anonymisierung.
Anleitung zu Abschnitt 7.4.4
Durch Datenminimierung sollte sichergestellt werden, dass die Erhebung und Verarbeitung personenbezogener Daten auf den „identifizierten Zweck“ jeder Funktion beschränkt ist (siehe ISO 27701 Abschnitt 7.2.1).
Ein großer Teil dieses Prozesses besteht darin, zu dokumentieren, inwieweit die Informationen eines PII-Auftraggebers ihm direkt zuzuordnen sein sollten und wie eine Minimierung mithilfe einer Vielzahl verfügbarer Methoden erreicht werden kann.
Organisationen sollten die spezifischen Techniken erläutern, die zur Anonymisierung personenbezogener Daten verwendet werden, wie zum Beispiel:
- Randomisierung.
- Lärmzusatz.
- Verallgemeinerung.
- Attributentfernung.
Relevante ISO 27701-Klauseln
- ISO 27701 7.2.1
ISO 27701 Abschnitt 7.4.5 – Anonymisierung und Löschung personenbezogener Daten am Ende der Verarbeitung
Zweck von Abschnitt 7.4.5
Organisationen müssen entweder alle PII, die keinen Zweck mehr erfüllen, vollständig vernichten oder sie so ändern, dass jede Form der Identifizierung des Auftraggebers verhindert wird.
Anleitung zu Abschnitt 7.4.5
Sobald die Organisation festgestellt hat, dass die personenbezogenen Daten zu keinem Zeitpunkt in der Zukunft verarbeitet werden müssen, sollten die Informationen verarbeitet werden gelöscht or de-identifiziert, wie es die Umstände erfordern.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 7.4.6 – Temporäre Dateien
Zweck von Abschnitt 7.4.6
Temporäre Dateien werden aus verschiedenen technischen Gründen während des gesamten Lebenszyklus der PII-Verarbeitung und -Erfassung in zahlreichen Anwendungen, Systemen und Sicherheitsplattformen erstellt.
Organisationen müssen sicherstellen, dass diese Dateien gemäß einer offiziellen Aufbewahrungsrichtlinie innerhalb eines angemessenen Zeitraums vernichtet werden.
Anleitung zu Abschnitt 7.4.6
Eine einfache Möglichkeit, das Vorhandensein solcher Dateien festzustellen, besteht darin, regelmäßig temporäre Überprüfungen im gesamten Netzwerk durchzuführen. Temporäre Dateien umfassen häufig:
- Datenbankaktualisierungsdateien.
- Zwischengespeicherte Informationen.
- Von Anwendungen und maßgeschneiderten Softwarepaketen erstellte Dateien.
Organisationen sollten sich an ein sogenanntes halten Garbage-Collection-Verfahren Dadurch werden temporäre Dateien gelöscht, wenn sie nicht mehr benötigt werden.
ISO 27701 Abschnitt 7.4.7 – Aufbewahrung
Zweck von Abschnitt 7.4.7
Es ist von entscheidender Bedeutung, dass Organisationen ihre Verpflichtung anerkennen, personenbezogene Daten zu löschen und/oder zu entsorgen, die zur Erreichung eines bestimmten Zwecks nicht mehr erforderlich sind.
Anleitung zu Abschnitt 7.4.7
Organisationen sollten kategorische Aufbewahrungspläne entwerfen und einhalten, die den genauen Zeitraum festlegen, für den PII-Prinzipale mit der Speicherung ihrer Daten rechnen können.
Aufbewahrungspläne sollten auf alle rechtlichen, gesetzlichen oder vertraglichen Anforderungen zugeschnitten sein, die regeln, wie lange personenbezogene Daten auf einer bestimmten Plattform gespeichert werden sollen.
ISO 27701 Abschnitt 7.4.8 – Entsorgung
Zweck von Abschnitt 7.4.8
Organisationen müssen über klare Richtlinien und Verfahren verfügen, die regeln, wie personenbezogene Daten entsorgt werden.
Anleitung zu Abschnitt 7.4.8
Die Datenentsorgung ist ein weitreichendes Thema, das eine Vielzahl verschiedener Variablen umfasst, basierend auf der erforderlichen Entsorgungstechnik und der Art der zu entsorgenden Daten.
Organisationen müssen Folgendes berücksichtigen:
- Was die PII beinhaltet.
- Alle verbleibenden Metadaten, die zusammen mit den Hauptdaten gelöscht werden müssen.
- Die Art des Speichermediums, auf dem die personenbezogenen Daten gespeichert sind.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 7.4.9 – PII-Übertragungssteuerungen
Zweck von Abschnitt 7.4.9
Alle personenbezogenen Daten, die an eine Drittorganisation übertragen werden sollen, sollten mit größter Sorgfalt bei der Übermittlung der Informationen und unter Verwendung sicherer Mittel erfolgen.
Anleitung zu Abschnitt 7.4.9
Unternehmen müssen sicherstellen, dass nur autorisiertes Personal auf Übertragungssysteme zugreifen kann, und zwar auf eine leicht überprüfbare Weise, mit dem alleinigen Zweck, die Informationen ohne Zwischenfälle dorthin zu bringen, wo sie hin müssen.
Unterstützende DSGVO-Artikel
Verschiedene Elemente von ISO 27701 Abschnitt 7.4 sind im Vereinigten Königreich anwendbar Datenschutz Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | Zugehörige DSGVO-Artikel |
|---|---|---|
| 7.4.1 | Beschränken Sie die Sammlung | Artikel (5) |
| 7.4.2 | Beschränken Sie die Verarbeitung | Artikel (25) |
| 7.4.3 | Genauigkeit und Qualität | Artikel (5) |
| 7.4.4 | Ziele zur PII-Minimierung | Artikel (5) |
| 7.4.5 | PII-Deidentifizierung und Löschung am Ende der Verarbeitung | Beiträge (5), (6), (11), (32) |
| 7.4.6 | Temporäre Dateien | Artikel (5) |
| 7.4.7 | Kundenbindung | Beiträge (13), (14) |
| 7.4.8 | Verfügung | Artikel (5) |
| 7.4.9 | PII-Übertragungssteuerungen | Artikel (5) |
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet integrierte Unterstützung in jeder Phase und unseren „Adopt, Adapt, Add“-Implementierungsansatz für ISO 27701, um den Prozess erheblich zu vereinfachen.
Darüber hinaus profitieren Sie von einer Vielzahl zeitsparender Funktionen.
Sollten Sie auf Ihrem Weg zur ISO 27701 aus irgendeinem Grund einen Mangel an Selbstvertrauen, Fähigkeit oder Handlungswillen verspüren, können wir Ihnen unser Team interner Experten zur Verfügung stellen.
Erfahren Sie mehr von eine Demo buchen.
