Free ebook: NIS2 ready using ISO 27001 best practices
Download ebook

Learn more about the connected frameworks

GDPR

A.7.2.1
ISO 27701

Identify and document purpose

P8.1
SOC 2

Periodic monitoring of privacy compliance

TSU-15
Julkri

Osoitusvelvollisuus

Other tasks from the same security theme

Privacy and Data Protection policy -report publishing, informing and maintenance

Critical
High
Normal
Low

The ogranization must have a privacy and data protection policy created and it must be regularly updated and approved by organization's management.

9.1: Data Protection Policies
TISAX
9.1.1: Data Protection policies
TISAX

Measuring and developing a data protection culture in the organization

Critical
High
Normal
Low

Taking care of data protection is purposefully aimed at forming part of the organizational culture, and the implementation of this is regularly evaluated.

In addition, the organization has defined clear methods of operation to measure staff attitudes towards data protection (e.g. surveys, tests). The measurement results are interpreted and clear measures are formed based on them.

68: Tietosuojan tila organisaatiossa
Sec overview

Henkilötietojen säilytyksen rajoittamisen tarkistaminen

Critical
High
Normal
Low

Organisaatio säilyttää henkilötietoja muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan, kun on tarpeen tietojen käsittelyn tarkoitusten toteuttamista varten.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta analysoimalla hallintajärjestelmän dokumentaatiota (etenkin määritellyt tietoaineistojen säilytysajat) ja myös vertaamalla dokumentaatiota tietojen todelliseen poistamiseen.

TSU-11: Säilytyksen rajoittaminen
Julkri

Henkilötunnuksen käsittelyperusteiden tunnistaminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio tunnistaa kaikki henkilötietojen käsittelytoimet, joissa käytetään henkilötunnusta. Organisaatio varmistaa kunkin käsittelytoimen osalta, että henkilötunnuksen käytölle on laissa hyväksytty peruste.

Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

  • laissa säädetyn tehtävän suorittamiseksi;
  • rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai
  • historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
TSU-07.2: Käsittelyn lainmukaisuus - Henkilötunnus
Julkri

Process for destruction of temporary files

Critical
High
Normal
Low

The organization should have a documented process for disposing of temporary data generated as a result of personal data processing within the specified time.

Disposal should be carried out by clearing or destroying temporary files in accordance with the procedure within a set schedule.

A.7.4.6: Temporary files
ISO 27701

Goals related to restrictions of processing

Critical
High
Normal
Low

The organization must identify different processing situations in which it may be necessary to limit the processing of personal data and the amount of personal data in relation to their purposes. This may include e.g. removal of data allowing identification and other data processing limitation techniques.

The organization should determine and document the restriction goals for data processing and the mechanisms used to implement the goals.

A.7.4.4: PII minimization objectives
ISO 27701

Ensuring and documenting the accuracy of personal data

Critical
High
Normal
Low

The organization should have a process for regularly assessing the accuracy and correctness of personal data, making necessary updates, and notifying data recipients of corrections.

The more important the accuracy of the information is, the more measures the controller must take to ensure the correctness of the information. Ensuring the correctness of the information is particularly important when decisions relevant to the individual are made on the basis of personal information. In this case, inaccurate and incorrect information can seriously endanger the data subject's rights (e.g. lead to incorrect treatment decisions).

A.7.4.3: Accuracy and quality
ISO 27701
TSU-12: Täsmällisyys
Julkri
P7.1: Collection and maintainment of accurate and relevant personal information
SOC 2

Reviewing the execution of data minimisation

Critical
High
Normal
Low

The organization should limit the collection of personal data to the minimum level that is essential and necessary for the purpose of processing the personal data collected.

The realization of the principle should be ensured regularly from the point of view of all processing by comparing the documentation of the management system (e.g. the purposes of use of the data) with the personal data held by the organization in practice.

A.7.4.1: Limit collection
ISO 27701
TSU-10: Tietojen minimointi
Julkri
P7.1: Collection and maintainment of accurate and relevant personal information
SOC 2

Henkilötietojen käyttötarkoitussidonnaisuuden tarkistaminen

Critical
High
Normal
Low

Organisaatio kerää henkilötietoja vain tietyssä, nimenomaisessa ja laillisessa tarkoituksessa, eikä käsittele henkilötietoja alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta vertaamalla hallintajärjestelmän dokumentaatiota (etenkin tietojen käyttötarkoitukset) henkilötietojen todelliseen hyödyntämiseen organisaation arjessa.

TSU-09: Käyttötarkoitussidonnaisuus
Julkri
P4.1: Limiting use of personal information to purposes according to objectives related to privacy
SOC 2

Henkilötietojen tarpeellisuuden ja oikeasuhtaisuuden tarkistaminen

Critical
High
Normal
Low

Organisaatio varmistaa, että henkilötietojen käsittely on tarpeellista ja oikeasuhtaista käsittelyn laillisten tarkoitusten saavuttamiseksi. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoilla.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta analysoimalla hallintajärjestelmän dokumentaatiota (etenkin tietojen käyttötarkoitukset).

TSU-08: Tarpeellisuus ja oikeasuhtaisuus
Julkri
P3.1: Collection of personal information is consistent with objects related to privacy
SOC 2

Regular, internal review of privacy policies

Critical
High
Normal
Low

The task of the Data Protection Officer (or other responsible person) is to monitor that the Data Protection Regulation and other data protection requirements are complied with in the organisation's operations.

In making her assessment, the responsible person shall take into account the risk associated with the processing operations and of the nature, extent, context and purposes of the processing of personal data.

25. Data protection by design and by default
GDPR
A.7.2.1: Identify and document purpose
ISO 27701
TSU-15: Osoitusvelvollisuus
Julkri
P8.1: Periodic monitoring of privacy compliance
SOC 2

Pseudonymisation of personal data

Critical
High
Normal
Low

Pseudonymisation means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information.

32. Security of processing
GDPR
8.11: Data masking
ISO27k1 Full

Anonymization of personal data

Critical
High
Normal
Low

Anonymisation means modifying personal information so that the person can no longer be identified from it. For example, data can be roughened to a general level or data about an individual can be deleted. Identification is irreversibly prevented in anonymisation, in contrast to pseudonymisation, where data can be restored to their original form using additional information.

32. Security of processing
GDPR
8.11: Data masking
ISO27k1 Full

Regular external auditing of privacy policies

Critical
High
Normal
Low

The organization regularly conducts privacy audit. For example, the audit identifies shortcomings and development needs related to the processing of personal data and the processing of personal data.

P8.1: Periodic monitoring of privacy compliance
SOC 2