Oui, en plus des garanties évoquées ci-dessus, ORCID intègre les mesures supplémentaires suivantes pour assurer la protection des données.
Contrôle de la personne concernée. Les utilisateurs bénéficient d'un niveau élevé de transparence et de contrôle concernant les informations partagées avec ORCID et d'autres utilisateurs ou organisations membres. ORCID a pris des mesures pour minimiser la quantité de données personnelles nécessaires pour établir un ORCID enregistrement, ne nécessitant qu'un prénom et une adresse e-mail. En plus, ORCID indique clairement que ses outils et services permettent aux utilisateurs de contrôler l'enregistrement, ce qui est connecté à un identifiant et qui peut accéder aux informations des utilisateurs.
Accords de traitement avec des tiers. ORCID conclut des accords avec ses sous-traitants qui intègrent des dispositions relatives à la confidentialité et à la sécurité des données. Avant de conclure des accords avec les sous-traitants, ORCID effectue une diligence raisonnable qui traite des éléments de confidentialité et de sécurité. Pour effectuer cette due diligence, ORCID détermine d'abord si le fournisseur tiers aura accès et/ou recevra des copies de toutes les données personnelles. Si la réponse est oui, alors ORCID va de l'avant avec la négociation d'un accord de traitement des données conforme aux exigences du RGPD et à toute autre exigence applicable en matière de protection des données.
Cryptage des données. ORCID met en œuvre des mesures de cryptage raisonnables pour toutes les données au repos et en transit. De plus, toutes les sauvegardes sont cryptées.¬¨‚
Mesures techniques et organisationnelles. ORCID met en œuvre une variété de contrôles de sécurité pour prendre en charge la gestion sécurisée de ses bases de données et de son infrastructure. Ces contrôles de sécurité incluent la gestion des correctifs de sécurité ; surveillance de l'accès au système ; journalisation des audits ; contrôle d'accès; et changer les mécanismes de contrôle. Aditionellement, ORCID maintient un plan de réponse aux incidents ainsi qu'un processus de récupération des données et des sinistres.