Home »

De POPI-wet naleven
met DataSecurity Plus

De POPI- of POPIA-wet (Protection of Personal Information Act) is een wet op de gegevensbescherming, uitgevaardigd door het Zuid-Afrikaanse parlement. Deze bepaalt hoe lokale en buitenlandse organisaties in Zuid-Afrika persoonsgegevens verzamelen, gebruiken, verwijderen en anderszins behandelen.


ManageEngine DataSecurity Plus helpt u te voldoen aan de vereisten van de POPI Act: door:

  • Detecteren van persoonsgegevens in bedrijfsopslagomgevingen.
  • Bewaken van gebruikersactiviteit in bestanden die vertrouwelijke gegevens bevatten.
  • Beschermen van bestanden van onopzettelijke en kwaadwillende gegevenslekken.
  • Leveren van verbeterde inzichten in beveiligingsmachtigingen en bestandsopslag.
  • Stroomlijnen van POPIA-controles met gedetailleerde rapporten.

En nog veel meer.

Hoe DataSecurity Plus helpt om de POPIA-naleving te bereiken

Deze tabel toont de verschillende secties van de POPIA die worden aangepakt door DataSecurity Plus.

Wat de POPIA-sectie zegt Wat u moet doen Hoe DataSecurity Plus helpt

Sectie 10

Persoonsgegevens mogen alleen worden verwerkt als ze, gezien het doel waarvoor ze worden verwerkt, adequaat, relevant en niet overdadig zijn.

 Zorg dat u geen persoonsgegevens hebt verzameld die niet nodig zijn voor uw activiteiten.
De persoonsgegevens die u opslaat, mogen alleen worden verwerkt door die werknemers die toegang tot deze gegevens nodig hebben om hun taak uit te voeren.
Gegevensdetectie:
Zoekt de persoonsgegevens van een betrokkene die zijn opgeslagen door uw organisatie. Vervolgens wordt een inventaris gemaakt die handhavers de mogelijkheid biedt te garanderen dat alleen benodigde gegevens zijn opgeslagen.

Machtigingsanalyse:
Geeft gebruikers weer die toegang hebben tot gegevens, samen met details over de acties die elke gebruiker erop kan uitvoeren.

ROT-gegevensanalyse:
Identificeer oude, inactieve en ongewijzigde bestanden en zorg ervoor dat er geen persoonsgegevens worden opgeslagen buiten de bedoelde bewaartermijn.

Sectie 11(4)

Als een betrokkene de verwerking van persoonsgegevens heeft geweigerd, mag de verantwoordelijke partij niet langer persoonsgegevens verwerken.

 Zoek alle exemplaren van de persoonsgegevens van de betrokkene en onderneem de nodige actie om het verwerken van de gegevens te stoppen.
Afstemmen van trefwoorden:
Identificeert gegevens die overeenkomen met een doeltrefwoord, waardoor persoonsgegevens die moeten worden verwijderd, accuraat en snel kunnen worden opgehaald.

Automatisering reactie:
Zodra de overeenkomst met het trefwoord is gevonden, kunnen handhavers het verwijderen of in quarantaine plaatsen ervan, automatiseren of kunnen ze een aangepaste actie uitvoeren om het gebruik ervan te beperken door het uitvoeren van batchbestanden.

Sectie 14(1)

Records van persoonsgegevens moeten niet langer worden bewaard dan nodig voor het bereiken van het doel waarvoor de informatie werd verzameld of achteraf werden verwerkt.

 Organisaties mogen persoonsgegevens niet langer bewaren dan nodig en moeten periodieke controles uitvoeren voor het identificeren en aanpakken van gegevens die buiten deze beoogde periode opgeslagen blijven.
Bestandsanalyse:
Helpt bij het bouwen van een bewaarbeleid van gegevens door het zoeken van redundante, verouderde en triviale gegevens in uw gegevensopslag en het verwijderen van de bestanden die hun bewaartermijn hebben overschreden.

Sectie 14(2)

Records van persoonsgegevens kunnen worden bewaard voor langere perioden dan deze die zijn bepaald in subsectie (14(1)) voor historische, statistische of researchdoeleinden, als de verantwoordelijke partij een geschikte beveiliging heeft voorzien tegen het gebruik van gegevens voor andere doeleinden.

 Wanneer u vertrouwelijke persoonsgegevens opslaat gedurende langere perioden, moeten organisaties controles implementeren om de veiligheid, integriteit en vertrouwelijkheid van de gegevens te garanderen.
Bewaking van bestandsintegriteit:
  1. Controleert elke gelukte en mislukte poging voor het maken, lezen, schrijven, verwijderen, wijzigen van machtigingen, verplaatsen, hernoemen, kopiëren of plakken van een bestand in realtime.
  2. Onderhoudt een gedetailleerde audittrail voor gedetailleerde analyse en het bewijzen van naleving van regelgevende mandaten.

Gegevensbeveiliging:
  1. Activeert directe waarschuwingen in het geval van een verdacht hoog volume van bestandswijzigingen, of als een gebruiker een kritiek bestand wijzigt buiten de werkuren.
  2. Blokkeert pogingen om vertrouwelijke bestanden te exfiltreren via eindpunten.

Effectieve machtigingsbeoordeling:
Helpt bij het garanderen van de vertrouwelijkheid van gegevens door het analyseren effectieve machtigingen. Hiermee kunnen gegevensbeheerders controleren of gebruikers niet meer bevoegdheden hebben dan vereist voor hun rol.

Sectie 14(4)

Een verantwoordelijke partij moet een record van persoonsgegevens verwijderen of de identificatie zo snel als redelijkerwijs uitvoerbaar is nadat de verantwoordelijke partij niet langer toestemming heeft om de record te bewaren, verwijderen.

 Verwijder vertrouwelijke persoonsgegevens als de beperkingsperiode is bereikt, als er geen verdere verwerking nodig is of als de betrokkene het verwijderen verzoekt.
Gegevensdetectie:
Identificeer de persoonsgegevens van de betrokkene die zijn opgeslagen door u met de hulp van de afstemming van trefwoorden en regelmatige uitdrukkingen, en verwijder ze uit de bedrijfsopslag.

ROT-gegevensanalyse:
Identificeert en automatiseert oude bestanden.

Sectie 14(6)

De verantwoordelijke partij moet de verwerking van persoonsgegevens beperken.

 Controleer of de toegang tot vertrouwelijke persoonsgegevens beperkt is wanneer deze wordt betwist, en alleen toegang verlenen wanneer dat nodig is.
Principle of least privilege (PoLP) (principe van minste bevoegdheid):
  1. Volgt machtigingswijzigingen, toont effectieve machtigingen, identificeert bestanden die toegankelijk zijn voor elke werknemer, zoekt gebruikers moet volledige beheerbevoegdheden, beoordeelt de kwetsbaarheid van bestanden en meer, om te helpen bij het implementeren van PoLP.
  2. U kunt deze machtigingsrapporten genereren wanneer dat nodig is, of planningen instellen voor het leveren van rapporten om bestandsmachtigingen periodiek te controleren.

Sectie 15(1)

Verdere verwerking van persoonsgegevens moet in overeenstemming of compatibel zijn met het doel waarvoor het werd verzameld.

 Implementeer maatregelen voor het detecteren en beperken van abnormaal gebruik van de persoonsgegevens.
Direct waarschuwingen, geautomatiseerde reacties:
  1. Activeert waarschuwingen wanneer gebruikersactiviteiten in bestandsservers, failoverclusters, werkgroepservers of werkstations een inbreuk plegen op het geconfigureerde beleid voor het omgaan met gegevens.
  2. U kunt scripts ook uitvoeren om computers, eindgebruikerssessies of meer automatisch uit te schakelen.

Sectie 16(1)

Een verantwoordelijke partij moet redelijkerwijs uitvoerbare stappen ondernemen om te verzekeren dat de persoonsgegevens compleet, accuraat, niet misleidend en bijgewerkt zijn waar nodig.

 Identificeer en controleer de juistheid van persoonsgegevens die zijn opgeslagen door uw organisatie.
Gegevensdetectie:
  1. Gebruikt gegevensdetectie om persoonsgegevens instanties te zoeken van vertrouwelijke persoonsgegevens aan de hand van een unieke set trefwoorden, bijv. nationaal identificatienummer, creditcardgegevens, e-mail-id's enz.
  2. Biedt gedetailleerde rapporten over de locatie van de persoonsgegevens en de machtigingen die eraan zijn toegewezen.

ROT-gegevensanalyse:
Zoekt bestanden die ouder zijn dan een door de gebruiker opgegeven ouderdom, wat helpt bij het zoeken van gegevens die moeten worden bijgewerkt.

Sectie 17

Een verantwoordelijke partij moet de documentatie van alle verwerkingsbewerkingen onderhouden.

 Volg elke actie die is uitgevoerd op persoonsgegevens, van de verzameling tot de verwijdering.
Bewaking van bestandswijzigingen:
  1. Controleert wijzigingen die zijn aangebracht aan bestanden en mappen in realtime, met informatie over wie welk bestand heeft geopend, wanneer en vanaf waar.
  2. Biedt gedetailleerde rapporten voor nalevingscontroles.
  3. Onderhoudt een gedetailleerde audittrail voor verdere analyse en om te voldoen aan de nalevingsbehoeften.

Sectie 19(1)

Een verantwoordelijke partij moet de integriteit en vertrouwelijkheid van persoonsgegevens in zijn bezit of onder zijn beheer, beschermen door het nemen van geschikte, redelijk technische en organisatorische maatregelen voor het voorkomen van

  1. verlies van, schade aan of onbevoegde vernietiging van persoonsgegevens; en
  2. onwettige toegang tot of verwerking van persoonsgegevens.
 Implementeer een oplossing voor de preventie van gegevensverlies (DLP) om onopzettelijke of kwaadaardige lekkage van vertrouwelijke persoonsgegevens te voorkomen.
Machtigingsanalyse:
Toont elke gebruiker die toegang kan krijgen tot een bestand dat persoonsgegevens bevat om te controleren of ze het privilege vereisen.

Eindpunt preventie van gegevensverlies:
  1. Bewaakt het gebruik van verwisselbare opslagapparaten in eindpunten.
  2. Blokkeert de beweging van vertrouwelijke bestanden naar USB-apparaten of via e-mail als bijlagen.
  3. Verhindert onopzettelijke gegevenslekken door het activeren van systeemprompts over het risico van het verplaatsen van kritieke gegevens.
  4. Vermindert de reactietijd op incidenten met directe waarschuwingen en een automatisch mechanisme voor reactie op bedreigingen.

Ransomware-detectie en -reactie:
Identificeert potentiële ransomware-aanvallen en schakelt automatisch geïnfecteerde servers uit, plaatst beschadigde bestanden in quarantaine en beperkt de verspreiding van de ransomware.

Sectie 19(2)

De verantwoordelijke partij moet redelijke maatregelen treffen voor —

  1. Het identificeren van alle redelijkerwijs voorzienbare interne en externe risico's voor persoonsgegevens die in zijn bezit of onder zijn beheer is;
  2. Het tot stand brengen en behouden van geschikte beschermingen tegen de geïdentificeerde risico's.
 Het identificeren en beoordelen van risico's voor de persoonsgegevens die door u zijn opgeslagen. Het implementeren van maatregelen om het risico te verminderen.
Risicobeoordeling van gegevens:
Berekent de risicoscore van bestanden die persoonsgegevens bevatten door het analyseren van hun machtigingen, het volume en het type van de overtreden regels met controledetails en meer.

Eindpunt preventie van gegevensverlies:
Classificeert bedrijfskritieke bestanden op basis van hun vertrouwelijkheid en voorkomt hun lekkage via e-mail, USB's, printers, enz.

Sectie 22(2)

Een melding van een inbreuk moet rekening houden met eventuele maatregelen die redelijkerwijs nodig zijn voor het bepalen het gevaar en om de integriteit van het informatiesysteem van de verantwoordelijke partij te herstellen.

 Voer een forensisch onderzoek uit naar de potentiële oorzaken en de reikwijdte van een gegevenslek.
Gedetailleerde audittrail:
Onderhoudt een complete audittrail van elke actie die leidt tot het gegevenslek, wat helpt bij het doeltreffend analyseren van de hoofdoorzaak van de inbreuk en de gegevens die zijn gecompromitteerd.

Sectie 23(1)

Een betrokkene heeft de volgende rechten—

  1. Een verantwoordelijke partij vragen om te controleren of de verantwoordelijke partij persoonsgegevens heeft over het gegevensonderwerp; en
  2. een verantwoordelijke partij vragen om het dossier of een beschrijving van de persoonsgegevens over de betrokkene die in het bezit is van de verantwoordelijke partij, inclusief informatie over de identiteit van alle partijen die toegang hebben of hadden tot de informatie.
 Zoek en deel alle informatie over de betrokkene die is opgeslagen door uw organisatie, samen met informatie over de individuele personen die deze hebben geopend.
Gegevensdetectie:
  1. Zoekt exemplaren van persoonsgegevens die zijn opgeslagen in Windows-bestandsservers en failoverclusters.
  2. Scant op nationale identificatienummers, creditcardgegevens, e-mail-id's en meer dan vijftig andere types vertrouwelijke persoonsgegevens met vooraf geconfigureerde regels en beleidsregels voor gegevensdetectie.

Analyse beveiligingsmachtiging:
Zoekt wie welke machtiging heeft voor bestanden die persoonsgegevens bevatten.

Controle van bestandstoegang:
Controleert de gebruikersactiviteit in bestanden en biedt details over wie welk bestand, wanneer en vanaf waar heeft geopend.

Sectie 24(1)

Een betrokkene kan een verantwoordelijke partij vragen om persoonsgegevens die in zijn bezit zijn over de betrokkene, te corrigeren of te verwijderen.

 Zoek en herzie alle instanties van onnauwkeurige informatie over de betrokkene.
Verwijder de gegevens waartegen de betrokkene zich verzet.
Gegevensdetectie:
Gebruikt gegevensdetectie om persoonsgegevens van de betrokkene te zoeken en kan batchbestanden uitvoeren om ze te verwijderen of te verplaatsen naar een veilige locatie voor verdere verwerking.

Sectie 26

Een verantwoordelijke mag geen persoonsgegevens verwerken met betrekking tot religieuze of filosofische overtuigingen, ras of etnische afkomst, lidmaatschap van een vakbond, politieke overtuiging, gezondheid of seksleven, biometrische informatie of crimineel gedrag van een betrokkene, tenzij hiervoor toestemming is verleend op grond van artikel 27-31 van de POPIA.

Organisaties kunnen de beschreven persoonsgegevens niet verzamelen of opslaan zonder de benodigde machtiging.
Gegevensdetectie:
Scant gegevensopslagruimten op inhoud die overeenkomt met een gewone uitdrukking of een set trefwoorden. Dit helpt organisaties zonder de nodige autorisatie voor het detecteren en corrigeren van gevallen van relevante persoonsgegevens en vermijd boeten voor niet-naleving.

Risicobeoordeling van gegevens:
Rapporten over de bestanden die de persoonsgegevens bevatten, samen met details over de locatie ervan, wie er toegang toe heeft, de risicoscore en meer.

Vrijwaring (disclaimer): De volledige naleving van de POPIA vereist een verscheidenheid aan oplossingen, processen, mensen en technologieën. Deze pagina is uitsluitend bedoeld voor informatieve doeleinden en mag niet worden beschouwd als juridisch advies voor naleving van de POPI-wet. ManageEngine geeft geen garanties, expliciet, impliciet of wettelijk, over de informatie in dit materiaal.

Zorg voor gegevensbeveiliging en verkrijg  -naleving

DataSecurity Plus helpt te voldoen aan de vereisten van talrijke nalevingsvoorschriften door het beschermen van gegevens in rust, in gebruik en in beweging.

Zoekt u een uniforme oplossing die ook geïntegreerde DLP-capaciteiten heeft? Probeer vandaag Log360!

Gratis proefversie voor 30 dagen