Durchführung einer Datenschutz- Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134

Ähnliche Dokumente
Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse. III. Risikobewertung Risiko Verarbeitungsgrundsatz

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Technischer Datenschutz

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Datenschutz-Folgenabschätzung

Datenschutzgrundverordnung

Europäische Datenschutz-Grundverordnung

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Durchführung einer Datenschutz-Folgenabschätzung


Cyber-Sicherheitstag Niedersachsen 2018

Keine Angst vor der Datenschutz- Folgenabschätzung

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

Datenschutz-Folgenabschätzung

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

Datenschutz Folgenabschätzung (DSFA)

CNIL Modell für die PIA

Das neue Kirchliche Datenschutzgesetz (KDG)

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Neue Meldepflichten bei Datenschutzverstößen

Die Datenschutzgrundverordnung verändert alles

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Ein neues Instrument aus der DS-GVO

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

DSGVO und ihre Auswirkungen

Die Europäische Datenschutz- Grundverordnung. Schulung am

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Mit ISIS12 zur DS-GVO Compliance

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Europäische Datenschutz-Grundverordnung

Dokumentation der Verarbeitungstätigkeit

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Checkliste zur Datenschutzgrundverordnung

Neue Kommunikation und Datenschutz (erster Input)

Dokumentation der Verarbeitungstätigkeit

Newsletter Datenschutz

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Startschuss DSGVO: Was muss ich wissen?

Die Identifizierung von Risiken für die Rechte und Freiheiten natürlicher Personen

DS-GVO und IT-Grundschutz

DATENSCHUTZ in der Praxis

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

BDO Austria GmbH und Duy Rechtsanwalt GmbH

Datenschutzgrundverordnung

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

KI Impuls Privacy und Datenschutz

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Vorgaben zur IT-Sicherheit in der DS-GVO

BvD. Management-Summary. Überblick in 10 Schritten

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

DAS NEUE EUROPÄISCHE DATENSCHUTZRECHT CHANCEN, RISIKEN UND NEBENWIRKUNGEN

99 Tage bis zur DSGVO Umsetzungsprojekt oder Notversorgung

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen

GDPR-Datenschutz-Compliance:

Hope is not a Strategy

Datenschutzreform 2018

Die Datenschutzgrundverordnung

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

DS-GVO Die Datenschutz-Folgenabschätzung!

Universitäten Forschung Datenschutz. Einleitung in die DSGVO

Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO

Datenschutzrechtliche Neuerungen für AMS Partnerinstitutionen. DI Robert Hörmann 7. Mai 2018

Privacy by design / by default Anforderungskriterien aus Kundensicht

Datenschutzerklärung Bewerbungsmanagement

Mit ISIS12 zur DS-GVO Compliance

Anforderungen des Datenschutzes

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Datenschutzreform 2018

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

Datenschutz für ÖBUVs. 07. November 2018

Datenschutz und Informationssicherheit

Prüfkatalog Rechenschaftspflicht. nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen. (Version 1.0)

EU-Datenschutz-Grundverordnung (DSGVO)

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

DSGVO. DS-GVO Die Datenschutz-Folgenabschätzung! Die Datenschutz-Folgenabschätzung! IHR Logo. November 2018

EU DSGVO & ISO Integriertes Dokumentations-Toolkit

EU Datenschutz-Grundverordnung. Datenschutz-Folgenabschätzung Privacy Impact Assessment

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

DSGVO Datenschutz-Grundverordnung

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Transkript:

Durchführung einer Datenschutz- Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134 Musterbeispiel Insight AG Kfz-Telematik-Versicherungstarif 19.07.2017 Workshop zur DSFA 1

Inhalt Vorwort zur ISO/IEC 29134 Datenschutzfolgeabschätzung nach DS-GVO Durchführung am Musterbeispiel Insight AG 19.07.2017 Workshop zur DSFA 2

Vorwort zur ISO/IEC 29134 19.07.2017 Workshop zur DSFA 3

Vorwort zur ISO 29134 Zusammenwirken von ISO-Standards Quelle: ISO/IEC DIS 29151:2016(E) Seite xi 19.07.2017 Workshop zur DSFA 4

Vorwort zur ISO 29134 Aufbau der ISO 29134 19.07.2017 Workshop zur DSFA 5

Datenschutzfolgeabschätzung nach DS-GVO 19.07.2017 Workshop zur DSFA 6

DSFA nach DS-GVO Kurzpapier der Eine DSFA ist kein einmaliger Vorgang. Sollten sich z. B. neue Risiken ergeben, die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der DSFA bisher nicht berücksichtigt wurden, so ist die DSFA zu überprüfen und ebenso anzupassen. Um dies zu garantieren, wird ein stetiger, iterativer Prozess der Überprüfung und Anpassung empfohlen. Quelle: Abgestimmtes DSK Kurzpapier zur DSFA Vorbereitung Überprüfung Durchführung Umsetzung 19.07.2017 Workshop zur DSFA 7

DSFA nach DS-GVO Kurzpapier der Kapitel in ISO 29134 Vorbereitung Zusammenstellung des DSFA-Teams 6.3.1 Prüfplanung 6.3.2 Festlegung des Beurteilungsumfangs (Scope) 6.3.3 Identifikation und Einbindung von Akteuren und betroffenen Personen 6.3.4 Bewertung der Notwendigkeit/ Verhältnismäßigkeit in Bezug auf Zweck - Identifikation der Rechtsgrundlagen - 19.07.2017 Workshop zur DSFA Quelle: Abgestimmtes DSK Kurzpapier zur DSFA 8

DSFA nach DS-GVO Kurzpapier der Kapitel in ISO 29134 Durchführung Modellierung der Risikoquellen 6.4.4 Risikobeurteilung 6.4.4 Auswahl geeigneter Abhilfemaßnahmen 6.4.5 Erstellung des DSFA-Berichts 7 Quelle: Abgestimmtes DSK Kurzpapier zur DSFA 19.07.2017 Workshop zur DSFA 9

DSFA nach DS-GVO Kurzpapier der Kapitel in ISO 29134 Umsetzung Umsetzung der Abhilfemaßnahmen 6.5.3 Test der Abhilfemaßnamen 6.5.4 Dokumentation: Nachweis über die Einhaltung der DS-GVO 7 Freigabe der Verarbeitungsvorgänge - Quelle: Abgestimmtes DSK Kurzpapier zur DSFA 19.07.2017 Workshop zur DSFA 10

DSFA nach DS-GVO Kurzpapier der Kapitel in ISO 29134 Überprüfung Ggf. Überprüfung und Audit der DSFA 6.5.5 Fortschreibung 6.5.5 Quelle: Abgestimmtes DSK Kurzpapier zur DSFA 19.07.2017 Workshop zur DSFA 11

Durchführung am Musterbeispiel Insight AG 19.07.2017 Workshop zur DSFA 12

Musterbeispiel Insight AG Zusammenstellung des DSFA Teams Name Position Rolle Herr Schröder Geschäftsführer, Insight AG Der Geschäftsführer Herr Schröder, der auch der Auftraggeber der DSFA ist, behält den Überblick über die Durchführung und übernimmt wichtige Lenkungsund Entscheidungsfunktionen, insbesondere in kritischen oder unklaren Situationen. Herr Stromberg Herr Schutz Prozessverantwortlicher (Process owner), Insight AG Datenschutzbeauftragter, Insight AG Herr Stromberg leitet das DSFA-Projekt und hat die finanziellen, zeitlichen und personellen Aspekte im Blick. Er fügt alle Ergebnisse der Prozessschritte zusammen und berichtet direkt an Herrn Schröder. Der Datenschutzbeauftragter Herr Schutz übernimmt eine beratende Funktion, vor allem im Hinblick auf die Einhaltung des geltenden Datenschutzgesetzes. Er informiert über die notwendigen Informationen, die ein DSFA-Bericht enthalten muss und identifiziert die betroffenen Datenkategorien. Frau Asci IT-Leiterin, Insight AG Die IT-Leiterin Frau Asci ist die Teilprojektleiterin des technischen Bereiches (Risikobeurteilung nach ISO-Norm, Systemarchitektur usw.). Frau Recht Juristin, Insight AG Die Juristin Frau Recht ist die zweite Teilprojektleiterin und ist für die rechtliche Bewertung der DSFA-Durchführung und Dokumentation zuständig. Herr Kutrapali Geschäftsführer, Bengali LTD Herr Kutrapali ist der Geschäftsführer des Cloud Dienstleisters Bengali LTD und steht im engen Kontakt mit Frau Asci und Herrn Stromberg und beantwortet alle Fragestellungen z.b. zum Aufbau der IT-Infrastruktur des Unternehmens oder seinem US-Backup-Dienstleister. 19.07.2017 Workshop zur DSFA 13

Glasfaser Glasfaser Musterbeispiel Insight AG Systemarchitektur (Teil des Scope) 3 Server-Landschaft Insight AG LTE LTE Glasfaser 1 2 Cloud-Dienst Bengali LTD KFZ mit OBD2-Gerät Mobilfunkanbieter DE-CIX-Knoten 4 Cloud-Dienst Safeguard Corp. 19.07.2017 Workshop zur DSFA 14

Musterbeispiel Insight AG Datenflüsse (Teil des Scope) Server-Landschaft Insight AG 4 1 2 3 Cloud-Dienst Bengali LTD KFZ mit OBD2-Gerät Mobilfunkanbieter DE-CIX-Knoten 5 Cloud-Dienst Safeguard Corp. 19.07.2017 Workshop zur DSFA 15

Musterbeispiel Insight AG Identifikation von Akteuren Verantwortliche: Insight AG Auftragsverarbeiter: Bengali LTD, Dienstleister Bangladesch Safeguard Corp., Dienstleister USA (Subunternehmer) Betroffene: Versicherte Privatpersonen Weitere Betroffene: z. B. anderweitige Fahrer des Kfz mit eingebautem Gerät 19.07.2017 Workshop zur DSFA 16

Risikobeurteilung (gemäß ISO 31000) Risikobeurteilung: Ansatz nach ISO 31000 Risikobeurteilung I. Risikoidentifikation II. Risikoanalyse III. Risikobewertung Risikobeschreibung Risikoquelle Verarbeitungsgrundsatz nach Art. 5 DS-GVO Möglicher Schaden Schadenskategorie (nach ErwGr. 75 DS-GVO) Eintrittswahrscheinlichkeit Schwere des Schadens Ergebnis 19.07.2017 Workshop zur DSFA 17

Risikobeurteilung (gemäß ISO 31000) Möglicher Schaden? ErwGr. 75 DS-GVO Erwägungsgrund 75: Die Risiken für die Rechte und Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, [...] Mögliche Schadenkategorien nach ErwGr. 75 DS-GVO Diskriminierung Identitätsdiebstahl Finanzieller Verlust Rufschädigung Verlust der Vertraulichkeit bei Berufsgeheimnis Unbefugten Aufhebung der Pseudonymisierung Andere wirtschaftliche oder gesellschaftliche Nachteile Hinderung der Kontrolle der Betroffenen über eigene Daten Verarbeitung von sensiblen Daten (Politik, Religion, Sexualleben, Gesundheit, etc.) [...] 19.07.2017 Workshop zur DSFA 18

Risikobeurteilung (gemäß ISO 31000) Risikobeurteilung: Ansatz Erwägungsgrund 76: Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. Schwere des Risikos Vernachlässigbar Begrenzt Wesentlich Maximal Kleine Unannehmlichkeiten Größere Unannehmlichkeiten Wesentliche Folgen Wesentliche und/oder irreversible Folgen Eintrittswahrscheinlichkeit Vernachlässigbar Begrenzt Wesentlich Maximal Fast unmöglich / nicht vorstellbar Mit gewissem Aufwand machbar (schwierig) Mit geringem Aufwand machbar Einfach 19.07.2017 Workshop zur DSFA 19

Risikobeurteilung im Musterbeispiel Risikobeurteilung: Tabellarische Umsetzung 19.07.2017 Workshop zur DSFA 20

Risikobeurteilung im Musterbeispiel Risikobeispiel: Integrität und Vertraulichkeit Risiko ID 16 Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse III. Risikobewertung Risiko ID Verarbeitungsgrundsatz (nach Art. 5 DS-GVO) 16 Integrität und Vertraulichkeit Cyberkrimineller (Hacker/Schadsoftware) Risikoquelle Risikobeschreibung Möglicher Schaden Unbefugte Entwendung der Rohdaten vom Rufschädigung, Fahrzeug/Versicherten werden aus der Datenbank Disikriminierung, andere in Bangladesch entwendet. wirtschaftliche Schäden Schadenskategorie (nach ErwGr. 75) Eintrittswahrscheinlichkeit Schwere des Schadens Ergebnis Rufschädigung Wesentlich (3) Maximal (4) hohes Risiko (7-8) Risikoquelle: Cyberkrimineller (Hacker/Schadsoftware) Risikobeschreibung: Unbefugte Entwendung der Rohdaten vom Fahrzeug/Versicherten werden aus der Datenbank in Bangladesch entwendet. Verarbeitungsgrundsatz: Integrität und Vertraulichkeit Möglicher Schaden: Rufschädigung durch unbefugte Verwendung der Daten, Diskriminierung wegen unbefugter Auswertung von Fahrtrouten, andere wirtschaftliche Schäden (z. B. durch Erpressung) Schadenskategorie: Rufschädigung, Diskriminierung, andere wirtschaftliche Schäden Eintrittswahrscheinlichkeit: Wesentlich (3) Schwere des Schadens: Maximal (4) Ergebnis Risikobewertung: hohes Risiko (7-8) 19.07.2017 Workshop zur DSFA 21

Risikobeurteilung im Musterbeispiel Risikobeispiel: Zweckbindung Risiko ID 45 Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse III. Risikobewertung Risiko ID Verarbeitungsgrundsatz (nach Art. 5 DS-GVO) 45 Zweckbindung Interner Mitarbeiter - Insight AG Risikoquelle Risikobeschreibung Möglicher Schaden Gespeicherte Daten werden für weitere Zwecke (Profilbildung, etc.) verwendet Diskriminierung, finanzieller Schaden, Rufschädigung, Identitätsdiebstahl oder Betrug Schadenskategorie (nach ErwGr. 75) Profilbildung durch Bewertung persönlicher Aspekte (Vorlieben, Interessen, Aufenthaltsort, Ortswechsel, etc.) Eintrittswahrscheinlichkeit Schwere des Schadens Ergebnis Wesentlich (3) Wesentlich (3) Risiko (6) Risikoquelle: Interner Mitarbeiter Insight AG Risikobeschreibung: Gespeicherte Daten werden für weitere Zwecke (Profilbildung, etc.) verwendet Verarbeitungsgrundsatz: Zweckbindung Möglicher Schaden: Diskriminierung, finanzieller Schaden, Rufschädigung, Identitätsdiebstahl oder Betrug, heimliche Profilbildung Schadenskategorie: Profilbildung durch Bewertung persönlicher Aspekte (Vorlieben, Interessen, Aufenthaltsort, Ortswechsel, etc.) Eintrittswahrscheinlichkeit: Wesentlich (3) Schwere des Schadens: Wesentlich (3) Ergebnis Risikobewertung: Risiko (6) 19.07.2017 Workshop zur DSFA 22

Risikobeurteilung im Musterbeispiel Risikobeispiel: Transparenz Risiko ID 62 Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse III. Risikobewertung Risiko ID Verarbeitungsgrundsatz (nach Art. 5 DS-GVO) 62 Transparenz Geschäftsführung Risikoquelle Risikobeschreibung Möglicher Schaden Fahrer (ungleich Halter) weiß nichts von der Verarbeitung Profilbildung durch Bewertung persönlicher Aspekte Schadenskategorie (nach ErwGr. 75) Profilbildung durch Bewertung persönlicher Aspekte (Vorlieben, Interessen, Aufenthaltsort, Ortswechsel, etc.) Eintrittswahrscheinlichkeit Schwere des Schadens Ergebnis Maximal (4) Wesentlich (3) hohes Risiko (7-8) Risikoquelle: Geschäftsführung Insight AG Risikobeschreibung: Fahrer des Kfz (ungleich Halter/Versicherter) weiß nichts von der Verarbeitung Verarbeitungsgrundsatz: Transparenz Möglicher Schaden: Profilbildung durch Bewertung persönlicher Aspekte Schadenskategorie: Profilbildung durch Bewertung persönlicher Aspekte (Vorlieben, Interessen, Aufenthaltsort, Ortswechsel, etc.) Eintrittswahrscheinlichkeit: Maximal (4) Schwere des Schadens: Wesentlich (3) Ergebnis Risikobewertung: hohes Risiko (7-8) 19.07.2017 Workshop zur DSFA 23

Risikobeurteilung im Musterbeispiel Risikobeispiel: Datenminimierung Risiko ID 58 Risikobeurteilung (gemäß ISO 31000) I. Risikoidentifikation II. Risikoanalyse III. Risikobewertung Risiko ID Verarbeitungsgrundsatz (nach Art. 5 DS-GVO) 58 Datenminimierung Interner Mitarbeiter - Insight AG Risikoquelle Risikobeschreibung Möglicher Schaden Datenerhebung/verarbeitung ohne Erforderlichkeit (Folgedatenberechnung wie z.b. genaue Uhrzeit, Anzahl der Kneipenbesuche) Diskriminierung, dem Zweck nicht angemessen Schadenskategorie (nach ErwGr. 75) Eintrittswahrscheinlichkeit Schwere des Schadens Ergebnis Diskriminierung Maximal (4) Wesentlich (3) hohes Risiko (7-8) Risikoquelle: Interner Mitarbeiter Insight AG Risikobeschreibung: Gespeicherte Daten werden für weitere Zwecke (Profilbildung, etc.) verwendet Verarbeitungsgrundsatz: Zweckbindung Möglicher Schaden: Diskriminierung, finanzieller Schaden, Rufschädigung, Identitätsdiebstahl oder Betrug, heimliche Profilbildung Schadenskategorie: Profilbildung durch Bewertung persönlicher Aspekte (Vorlieben, Interessen, Aufenthaltsort, Ortswechsel, etc.) Eintrittswahrscheinlichkeit: Maximal (4) Schwere des Schadens: Wesentlich (3) Ergebnis Risikobewertung: hohes Risiko (7-8) 19.07.2017 Workshop zur DSFA 24

Risikobeurteilung im Musterbeispiel Ergebnis der Risikobewertung Schwere des Schadens 4. Maximal 1 5 1 3. Wesentlich 5 8 5 4 Risikobereiche nach DS-GVO I Geringes Risiko 2. Begrenzt 14 15 7 II III Risiko Hohes Risiko 1. Vernachlässigbar 1 Eintrittswahrscheinlichkeit 19.07.2017 Workshop zur DSFA 25

Abhilfemaßnahmen Abhilfemaßnahmen nach ISO 29134 6.4.5.2 Determine controls The assessor should compare the existing and determined controls to reference lists of controls and verify that no necessary controls have been omitted: controls in ISO/IEC 27001:2013, Annex A; controls in ISO/IEC 29151; controls in any relevant privacy sets of controls, including national standards; controls from external factors; controls from internal factors. 19.07.2017 Workshop zur DSFA 26

I. Titel einfügen Abhilfemaßnahmen nach ISO 29151 ISO 29151 Privacy Controls ISO 29100 Security Controls ISO 27002 19.07.2017 Workshop zur DSFA 27

I. Titel einfügen Abhilfemaßnahmen nach ISO 29100 ISO 29100 Rechtmäßigkeit Transparenz Faire Verarbeitung Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Security Rechenschaftspflicht 19.07.2017 Workshop zur DSFA 28

Schwere des Schadens Schwere des Schadens Restrisikobewertung Ergebnis der Restrisikobewertung Risiko vor Abhilfemaßnahmen: Risiko nach Abhilfemaßnahmen 1 5 1 5 8 5 4 5 3 1 1 14 15 7 16 1 2 1 26 9 2 Eintrittswahrscheinlichkeit Eintrittswahrscheinlichkeit 19.07.2017 Workshop zur DSFA 29

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback