BESCHREIBUNG DER DATENVERARBEITUNG UND ANWENDBARE BEDINGUNGEN

ANHANG 1: BESCHREIBUNG DER DATENVERARBEITUNG UND ANWENDBARE BEDINGUNGEN

BESCHREIBUNG DER DATENVERARBEITUNG

Gegenstand und Dauer der Verarbeitung

Verarbeitung der verarbeiteten personenbezogenen Daten als direkte Folge des Vertrags und für die Dauer des Vertrags.

Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt zu dem Zweck, dass Fujitsu seinen Verpflichtungen gegenüber dem Kunden aus der Vereinbarung und in Übereinstimmung mit dem anwendbaren Recht nachkommen kann.

Arten der verarbeiteten personenbezogenen Daten

Personenbezogene Daten, die der Kunde zum Zwecke des Erhalts von Waren und/oder Dienstleistungen gemäß dem Vertrag zur Verfügung stellt.

Zugelassene Fujitsu Prozessoren

Der Kunde hat der Verwendung der folgenden Fujitsu-Auftragsverarbeiter durch Fujitsu zum Zwecke der Erbringung der Services und in Übereinstimmung mit dieser Datenverarbeitungsvereinbarung zugestimmt:

Kategorien betroffener Personen

Daten in Bezug auf einzelne betroffene Personen, die vom Kunden zur Verfügung gestellt oder von Fujitsu gemäß der Erfüllung der Vereinbarung erhalten oder abgeleitet werden, sind Daten in Bezug auf betroffene Personen, einschließlich:

  • Betroffene Personen des Kunden, einschließlich der Mitarbeiter, Kunden, Endbenutzer und potenziellen Kunden der Kunden

ANWENDBARE BEDINGUNGEN

DEFINIERTE LAUFZEITEN

"Verbundenes Unternehmen" bezeichnet jedes Unternehmen, das das betreffende Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht. "Kontrolle" bedeutet im Sinne dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50 % der Stimmrechte des betreffenden Unternehmens.

"Anwendbares Recht" bezeichnet alle anwendbaren Bestimmungen von Gesetzen, Gesetzen, Regeln, Kodizes, Verträgen, Verordnungen, Entscheidungen, Anweisungen, Verfügungen oder Vorschriften, einschließlich eines Gerichts oder einer Regulierungs- oder Regierungsbehörde in einer Gerichtsbarkeit, die für die Dienste und/oder die Vereinbarung relevant ist.

"Anwendbare Datenschutzgesetze" bezeichnet alle anwendbaren Gesetze zum Datenschutz oder in Bezug auf den Datenschutz oder den Datenschutz, die von Zeit zu Zeit geändert oder aktualisiert werden.

"Betroffene Person" hat die Bedeutung, wie sie im geltenden Datenschutzrecht definiert ist, oder, falls es keine solche Definition gibt, bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.

"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person. 

"Verletzung des Schutzes personenbezogener Daten" bedeutet

  • eine Datenschutzverletzung im Sinne des geltenden Datenschutzgesetzes (falls vorhanden); oder
  • wenn es im anwendbaren Datenschutzrecht keine Definition gibt, eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf verarbeitete personenbezogene Daten führt.

"Verarbeitete personenbezogene Daten" bezeichnet personenbezogene Daten, die von Fujitsu und/oder einem Fujitsu-Auftragsverarbeiter im Rahmen der i) Erbringung der Dienstleistungen oder ii) der anderweitigen Erfüllung von Verpflichtungen aus der Vereinbarung verarbeitet werden. 

"Dienstleistungsempfänger" bezeichnet den Kunden und/oder eine andere Person, die Dienstleistungen im Rahmen der Vereinbarung erhält.

"Dienstleistungen" bezeichnet die Waren oder Dienstleistungen, die im Rahmen des Vertrags zu erbringen sind.

"Subunternehmer" bezeichnet eine Person (mit Ausnahme eines Mitarbeiters), die von Fujitsu (direkt oder indirekt) mit der Erbringung von Dienstleistungen im Rahmen des Vertrags beauftragt oder anderweitig eingesetzt wird (nicht notwendigerweise Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten).

"Fujitsu-Auftragsverarbeiter" bezeichnet die verbundenen Unternehmen oder Subunternehmer von Fujitsu, die verarbeitete personenbezogene Daten in Übereinstimmung mit dieser Datenverarbeitungsvereinbarung verarbeiten.

"Aufsichtsbehörde" bezeichnet eine unabhängige Behörde, die für die Verarbeitung personenbezogener Daten im Rahmen dieser Datenverarbeitungsvereinbarung zuständig ist, oder, je nach Fall, eine Regierungsbehörde oder Behörde, die für die Verarbeitung personenbezogener Daten im Rahmen dieser Datenverarbeitungsvereinbarung zuständig ist.

Soweit dies nach geltendem Datenschutzrecht relevant ist, haben die Begriffe "Verarbeitung", "Auftragsverarbeiter" und "Verantwortlicher" die Bedeutung, die ihnen im anwendbaren Datenschutzrecht zugewiesen wurde.

  1. FUJITSU VERPFLICHTUNGEN

Wenn Fujitsu und/oder ein Fujitsu-Auftragsverarbeiter verarbeitete personenbezogene Daten im Rahmen der Erbringung der Dienstleistungen oder anderweitig zur Erfüllung von Verpflichtungen aus der Vereinbarung und/oder dieser Datenverarbeitungsvereinbarung für den Kunden verarbeitet:

1.1 Fujitsu hält sich in Bezug auf die Verarbeitung verarbeiteter personenbezogener Daten an die geltenden Datenschutzgesetze;

1.2 Die Parteien erkennen an, dass Fujitsu, soweit dies nach den geltenden Datenschutzgesetzen relevant ist, als Auftragsverarbeiter für den Kunden als Verantwortlicher tätig wird;

1.3 Fujitsu richtet ihre Verarbeitung an die Beschreibung der Datenverarbeitung in Anhang 1 und alle anderen zwischen den Parteien schriftlich vereinbarten Verarbeitungsbeschreibungen aus, die Teil dieser Datenverarbeitungsvereinbarung sind;

1.4 Fujitsu verarbeitet die verarbeiteten personenbezogenen Daten nur auf den dokumentierten Anweisungen des Kunden und in Übereinstimmung mit dieser Datenverarbeitungsvereinbarung; und

1.5 Fujitsu stellt sicher, dass alle Personen, einschließlich ihrer Mitarbeiter, autorisiert die verarbeiteten personenbezogenen Daten zu verarbeiten oder anderweitig Zugang zu ihnen zu haben, sich zu angemessenen Bedingungen zur Vertraulichkeit verpflichtet haben und/oder einer angemessenen verbindlichen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.

  1. PFLICHTEN DES KUNDEN

2.1 Der Kunde garantiert, erklärt und verpflichtet sich für sich selbst und für jeden anderen Dienstleistungsempfänger, dass (i) der Kunde und/oder der Dienstleistungsempfänger in jeder Hinsicht die geltenden Datenschutzgesetze einhalten werden; und (ii) alle Anweisungen, die der Kunde und/oder der Dienstleistungsempfänger Fujitsu in Bezug auf verarbeitete personenbezogene Daten erteilt, jederzeit in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgen.

2.2 Der Kunde und/oder jeder andere Dienstleistungsempfänger ist für die Einhaltung aller Verpflichtungen nach geltendem Datenschutzrecht verantwortlich (einschließlich aller Verpflichtungen zur Benachrichtigung und/oder Einholung der Zustimmung von Personen, deren personenbezogene Daten im Rahmen der Vereinbarung oder dieser Datenverarbeitungsvereinbarung verarbeitet werden), damit Fujitsu die verarbeiteten personenbezogenen Daten rechtmäßig verarbeiten kann, wie in dieser Datenverarbeitungsvereinbarung vorgesehen.

  1. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Fujitsu verfügt jederzeit über technische und organisatorische Maßnahmen, um die verarbeiteten personenbezogenen Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Diese Maßnahmen sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung ("Angemessen") den Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen angemessen, die sich aus der Verarbeitung ergeben.

  1. KOOPERATION

4.1 Fujitsu stellt dem Kunden zu den vertretbaren Kosten die Zusammenarbeit, Unterstützung und Informationen zur Verfügung, die der Kunde in angemessener Weise anfordern kann und die Fujitsu unter Berücksichtigung der Art der Verarbeitung und der Fujitsu zur Verfügung stehenden Informationen zur Verfügung stellen kann und die erforderlich sind, um den Kunden in die Lage zu versetzen, seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachzukommen und mit der Aufsichtsbehörde in Bezug auf die verarbeiteten personenbezogenen Daten zusammenzuarbeiten, einschließlich der Unterstützung des Kunden:

4.1.1 durch geeignete technische und organisatorisch Maßnahmen, um auf Anträge betroffener Personen auf Zugang zu oder Berichtigung, Löschung, Übertragbarkeit oder Einschränkung oder Widerspruch gegen die Verarbeitung von verarbeiteten personenbezogenen Daten zu reagieren; und

4.1.2 bei der Sicherstellung der Einhaltung der Sicherheits-, Meldepflichten des Kunden, der Folgenabschätzung und der Konsultationspflichten der Aufsichtsbehörden gemäß den geltenden Datenschutzgesetzen unter Berücksichtigung der Fujitsu zur Verfügung stehenden Informationen.

  1. UNTERVERARBEITUNG

5.1 Der Kunde erklärt sich damit einverstanden, dass Fujitsu die verarbeiteten personenbezogenen Daten an die Fujitsu-Auftragsverarbeiter zum Zwecke der Erbringung der Dienstleistungen im Rahmen der Vereinbarung unter folgenden Bedingungen offenlegen, übertragen oder zugänglich machen kann:

5.1.2 Fujitsu führt eine Liste der Fujitsu-Auftragsverarbeiter und der Verarbeitungstätigkeiten, die im Zusammenhang mit solchen Offenlegungen durchzuführen sind;

5.1.2 Fujitsu wird den Kunden mindestens 8 Werktage im Voraus über die Aufnahme eines neuen Fujitsu-Auftragsverarbeiters in diese Liste informieren und ihm die Möglichkeit geben, gegen eine solche Hinzufügung Einspruch zu erheben. und

5.1.3 Wenn der Kunde in vernünftigem Handeln einen solchen Einwand aus vernünftigen Gründen erhebt und Fujitsu nicht in der Lage ist, die Services zu ändern, um die Offenlegung der verarbeiteten personenbezogenen Daten an den zusätzlichen Fujitsu-Auftragsverarbeiter zu verhindern, verhandeln der Kunde und Fujitsu in gutem Glauben über die Vereinbarung eines geeigneten Ersatz-Fujitsu-Auftragsverarbeiters.

5.3 Fujitsu stellt sicher, dass jeder Fujitsu Auftragsverarbeiter (falls vorhanden) Vertragspartei eines schriftlichen Vertrags ist, der ihm Verpflichtungen auferlegt, die (mindestens) im Wesentlichen den Verpflichtungen entsprechen, die Fujitsu durch diese Datenverarbeitungsvereinbarung auferlegt werden.

5.4 Fujitsu bleibt für die Einhaltung der Bestimmungen des anwendbaren Datenschutzrechts und dieser Datenverarbeitungsvereinbarung durch Fujitsu Auftragsverarbeiter verantwortlich.

  1. VORFALL BEI DER DATENSICHERHEIT

6.1 Fujitsu wird den Kunden unverzüglich schriftlich benachrichtigen, wenn Fujitsu Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt.

6.2 In Bezug auf Verletzungen des Schutzes personenbezogener Daten wird Fujitsu Folgendes tun:

6.2.1 angemessene Schritte zu unternehmen, um die zugrunde liegende Ursache der Verletzung des Schutzes personenbezogener Daten zu ermitteln und zu mildern, um das Risiko einer Wiederholung und des Auftretens ähnlicher Verletzungen des Schutzes personenbezogener Daten zu minimieren;

6.2.2 die Schritte zu unternehmen, die Fujitsu als notwendig erachtet, um das Risiko für betroffene Personen infolge der Verletzung des Schutzes personenbezogener Daten zu mindern; und

6.2.3 auf angemessene Anfrage des Kunden und vorbehaltlich der Vertraulichkeitsverpflichtungen dem Kunden Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung zu stellen, die erforderlich sind, damit der Kunde seinen Verpflichtungen aus dem geltenden Datenschutzrecht nachkommen kann.

  1. RECHNUNGSPRÜFUNG

7.1 Fujitsu stellt dem Kunden alle Informationen (einschließlich Aufzeichnungen und schriftlicher Dokumente) zur Verfügung, die erforderlich sind, um nachzuweisen, dass Fujitsu seinen Verpflichtungen gemäß geltendem Datenschutzrecht in Bezug auf die verarbeiteten personenbezogenen Daten nachkommt.

7.2 Wenn der Kunde nicht hinreichend davon überzeugt ist, dass die Informationen, die Fujitsu dem Kunden zur Verfügung stellt, in angemessener Weise belegen, dass Fujitsu seinen Verpflichtungen gemäß geltendem Datenschutzrecht in Bezug auf die verarbeiteten personenbezogenen Daten nachkommt, wird Fujitsu Audits, einschließlich Inspektionen, zulassen und dazu beitragen, die vom Kunden (oder dem von ihm ernannten Prüfer) durchgeführt werden, vorbehaltlich der folgenden Bedingungen:

7.2.1 Der Kunde ist verpflichtet, Fujitsu mindestens einen Monat im Voraus schriftlich über alle durchzuführenden Audits oder Inspektionen zu informieren und sicherzustellen, dass der Kunde angemessene Anstrengungen unternimmt (und sicherstellt, dass jeder der von ihm benannten Prüfer dies tut), um wesentliche Auswirkungen auf Fujitsu im Verlauf eines solchen Audits oder einer solchen Inspektion zu vermeiden;

7.2.2 Die Prüfung darf nur innerhalb der üblichen Geschäftszeiten (9 bis 17 Uhr an einem Wochentag außer an Feiertagen) durchgeführt werden.

7.2.3 Der Kunde darf nicht mehr als ein Audit in einem Kalenderjahr durchführen, mit Ausnahme von zusätzlichen Audits oder Inspektionen, zu denen der Kunde nach geltendem Recht oder einer Aufsichtsbehörde verpflichtet oder aufgefordert wird; und

7.2.4 Der Kunde (und die von ihm beauftragten Prüfer) sind nicht berechtigt, auf andere Kunden- oder Fujitsu-Daten, bei denen es sich nicht um verarbeitete personenbezogene Daten handelt, zuzugreifen, diese zu kopieren oder anderweitig zu verarbeiten.

7.3 Der Kunde stellt sicher, dass die Person, die das Audit durchführt, vor der Durchführung eines Audits eine Vertraulichkeitsvereinbarung mit Fujitsu abgeschlossen hat und dass die Person nur berechtigt ist, auf Dokumente oder Bereiche von Fujitsu zuzugreifen, die zum Nachweis der Einhaltung des geltenden Datenschutzrechts erforderlich sind.

  1. HINWEISE ZUR VERARBEITUNG

8.1 Fujitsu wird den Kunden (jedoch ohne jegliche Verpflichtung zur Rechtsberatung) informieren, wenn die Befolgung einer Anweisung des Kunden nach Ansicht von Fujitsu zu einem Verstoß gegen geltendes Datenschutzrecht führen würde.

  1. INTERNATIONALE DATENÜBERMITTLUNGEN

9.1 Der Kunde erklärt sich damit einverstanden, dass Fujitsu verarbeitete personenbezogene Daten in ein Land oder Gebiet außerhalb des geografischen Gebiets des Kunden übertragen kann. Wenn Fujitsu verarbeitete personenbezogene Daten in ein Land außerhalb des jeweiligen geografischen Gebiets überträgt, erfolgt die Übermittlung in voller Übereinstimmung mit allen geltenden Gesetzen.

Besondere Bestimmungen für Europa

9.2 Der Kunde erklärt sich damit einverstanden, dass Fujitsu verarbeitete personenbezogene Daten aus dem Europäischen Wirtschaftsraum und/oder dem Vereinigten Königreich (je nach Anwendbarkeit) in ein Land oder Gebiet außerhalb dieses geografischen Gebiets übertragen kann, wobei stets die folgenden Bedingungen erfüllt sind:

9.2.1 Die Übertragung muss in voller Übereinstimmung mit allen geltenden Gesetzen erfolgen.

9.2.2 ohne Einschränkung der vorstehenden Klausel 9.2.1 muss Fujitsu:

9.2.2.1 angemessene Garantien in Bezug auf die Übermittlung zu treffen;

9.2.2.2 sicherzustellen, dass die betroffene Person über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügt;

9.2.2.3 sicherzustellen, dass ein angemessenes Schutzniveau für alle verarbeiteten personenbezogenen Daten besteht, die in Übereinstimmung mit dem geltenden Datenschutzrecht übertragen werden; und

9.2.2.4 Führen Sie alle zusätzlichen Verträge oder Unterlagen aus, die zur Einhaltung des geltenden Datenschutzrechts erforderlich sind.

  1. RÜCKGABE ODER VERNICHTUNG VON DATEN

Auf schriftliche Aufforderung des Kunden und in jedem Fall unverzüglich nach Beendigung oder Ablauf des Vertrags wird Fujitsu alle verarbeiteten personenbezogenen Daten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, löschen oder an den Kunden zurückgeben, sofern das geltende Recht nichts anderes vorschreibt. Im Falle der Rückgabe der Daten wird Fujitsu so bald wie möglich alle anderen Kopien der verarbeiteten personenbezogenen Daten sicher löschen, sofern das geltende Recht nichts anderes vorschreibt.

  1. VERSCHIEDENES

11.1 Geltendes Recht und Gerichtsstand: Die Auslegung, Gültigkeit und Erfüllung dieser Datenverarbeitungsvereinbarung sowie alle Angelegenheiten im Zusammenhang mit der Auslegung und Wirkung dieser Datenverarbeitungsvereinbarung und außervertraglichen Verpflichtungen, die sich aus oder im Zusammenhang mit dieser Datenverarbeitungsvereinbarung (und allen Änderungen hierfür) ergeben, unterliegen den in der Vereinbarung angegebenen Gesetzen oder, falls in der Vereinbarung kein geltendes Recht angegeben ist, den Gesetzen der Niederlande.

11.2 Ungültigkeit: Sollte eine Bestimmung dieser Datenverarbeitungsvereinbarung (oder ein Teil einer Bestimmung) von einem Gericht oder einer anderen zuständigen Behörde für ungültig, rechtswidrig oder nicht durchsetzbar befunden werden, so gilt diese Bestimmung oder Teilbestimmung im erforderlichen Umfang als nicht Bestandteil dieser Datenverarbeitungsvereinbarung, und die Gültigkeit und Durchsetzbarkeit der anderen Bestimmungen dieser Datenverarbeitungsvereinbarung wird nicht berührt.

ANHANG 1: MINDESTANFORDERUNGEN an die Sicherheit

Fujitsu unterhält und setzt die technischen und organisatorischen Maßnahmen durch, die in der jeweiligen Vereinbarung festgelegt oder zwischen den Parteien schriftlich vereinbart werden können. Im Folgenden werden einige der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen beschrieben, die von Fujitsu implementiert wurden:

  1. Richtlinien und Standards
  • Richten Sie einen Richtlinienrahmen für IT-Sicherheits-, Risiko- und Compliance-Management-Richtlinien und -Richtlinien ein. Integrieren Sie die Kontrollen auf der Grundlage angemessener Risikobewertungen und sich entwickelnder Industriestandards.
  • Sie müssen über eine Informationssicherheitsrichtlinie verfügen, in der die Ziele, Verantwortlichkeiten und verbindlichen Regeln für den Schutz von Informationen beschrieben sind. Diese Richtlinie sollte unter anderem Datensicherheitskontrollen wie Datenklassifizierung, physische Sicherheitskontrollen, Verschlüsselung und Schulung umfassen. Dokumentieren Sie als Erweiterung einer solchen Informationssicherheitsrichtlinie den Prozess, die Verfahren, die Organisationsstrukturen sowie die Software- und Hardwarefunktionen.
  • Pflegen Sie zusätzliche Sicherheitsstandards, Richtlinien und Baselines, die weitere Anweisungen für die Implementierung spezifischer, erforderlicher Kontrollen festlegen, wie z. B. interne Firewalls und Konto- und Passwortverwaltung.
  1. Informationsklassifizierung und Zugriffskontrolle
  • Behandlung von Informationen, die für die Ausübung der Geschäftstätigkeit erforderlich sind, als Unternehmensvermögen, das vor Verlust und Verstößen gegen Integrität und Vertraulichkeit geschützt werden muss. Jede Organisationseinheit sollte durch Richtlinien verpflichtet werden, Risiken für Informationsressourcen zu bewerten und das Sicherheitsniveau regelmäßig durch Sicherheitsüberprüfungen zu überprüfen.
  • Informationen sollten auf der Grundlage der Art dieser Informationen klassifiziert werden.
  • Allen Mitarbeitern sollten eindeutige User-IDs zugewiesen werden. Nur autorisierte Personen sollten in der Lage sein, den Zugriff auf ein Informationssystem, das personenbezogene Daten verwendet oder speichert, zu gewähren, zu ändern oder zu widerrufen, und der Zugriff darf nur für gültige Geschäftszwecke gewährt werden.
  • Benutzerverwaltungsverfahren sollten Benutzerrollen und ihre Berechtigungen definieren, wie der Zugriff gewährt, geändert und beendet wird. angemessene Aufgabentrennung zu treffen; und die Anforderungen und Mechanismen für die Protokollierung/Überwachung zu definieren. Sollte wirtschaftlich angemessene physische und elektronische Sicherheitsmaßnahmen zur Erstellung und zum Schutz von Passwörtern aufrechterhalten.
  1. Systemintegrität und Verfügbarkeit
  • Sollte die Netzwerksicherheit unter Verwendung kommerziell verfügbarer Geräte und wirtschaftlich sinnvoller Techniken aufrechterhalten.
  • Im Falle einer Verschlechterung oder eines Ausfalls der Informationsinfrastruktur sollten geeignete Pläne für die Notfallwiederherstellung und die Wiederaufnahme des Geschäftsbetriebs umgesetzt werden. Sicherungskopien kritischer Geschäftsinformationen und Software sollten regelmäßig erstellt und getestet werden, um eine Wiederherstellung zu gewährleisten.
  • IT-Sicherheitskontrollen sollten eine angemessene Protokollierung und Überwachung erfordern, um die Aufzeichnung von IT-sicherheitsrelevanten Maßnahmen zu ermöglichen.
  1. Viren- und Malware-Kontrollen
  • Sollte Antiviren- und Malware-Schutzsoftware auf seinem System warten.
  1. Sicherheitsvorfälle
  • Alle Mitarbeiter sollten verpflichtet sein, alle beobachteten oder vermuteten Sicherheitsvorfälle im Zusammenhang mit personenbezogenen Daten in Übereinstimmung mit den entsprechenden Verfahren zur Meldung von Vorfällen zu melden.
  1. Physische Sicherheit
  • Sollte an allen Standorten, an denen sich ein Informationssystem befindet, das personenbezogene Daten verwendet oder speichert, wirtschaftlich angemessene Sicherheitssysteme unterhalten. In gesicherten Bereichen sollten verschiedene physische Sicherheitsvorkehrungen getroffen werden, einschließlich der Verwendung von Sicherheitsausweisen (identitätskontrollierter Zugang) und Sicherheitskräften, die an den Ein- und Ausgängen stationiert sind. Besuchern sollte nur dann Zugang gewährt werden, wenn sie dazu berechtigt sind.
  1. Schulung & Compliance
  • Das Personal sollte verpflichtet werden, die IT-Sicherheitsrichtlinien als Bedingung für die Beschäftigung zu lesen und einzuhalten.
  • Sollte ein Programm zur Sensibilisierung für Sicherheit implementieren, um das Personal in Bezug auf seine Sicherheits- und Datenschutzverpflichtungen zu schulen. Dieses Programm sollte Schulungen zum Datenschutz und zu Sicherheitspraktiken umfassen. physische Sicherheitskontrollen; und Meldung von Sicherheitsvorfällen.
  • Sollte die implementierten Sicherheitsmaßnahmen und die Umsetzung neuer Sicherheitsanforderungen regelmäßig überwachen. Die Einhaltung der geltenden Richtlinien und Verfahren sollte durch regelmäßige Schulungen, regelmäßige Überprüfungen lokaler und unternehmensweiter Richtlinien und Verfahren sowie Audits erreicht werden.
Warenkorb