Begrijpen van ISO 27701 Clausule 5.2: Context van de organisatie
Privacybescherming is een ingewikkeld wetgevingsonderwerp dat niet-juridische en juridische richtlijnen uit een breed scala aan bronnen omvat.
Gedurende de hele reeks controles verwijst ISO voortdurend naar de unieke commerciële, op privacy gebaseerde en logistieke behoeften van elke organisatie die zich met PII bezighoudt.
ISO 27701 5.2 omvat wat in grote lijnen kan worden omschreven als een reeks in kaart brengende oefeningen voor organisaties die inzicht willen krijgen in hun verplichtingen jegens interne en externe werknemers, en hoe zij met externe organisaties omgaan vanuit een compliance en PII-perspectief.
Wat wordt er behandeld in ISO 27701, clausule 5.2
ISO 27701 5.2 bevat vier subclausules die betrekking hebben op privacybescherming en de verwerking/controle van PII, die elk overeenkomen met een gekoppelde clausule binnen ISO 27001 (die fungeert als het hoofdleidraaddocument).
Daarnaast bevat ISO 27701 extra richtlijnen voor organisaties die een PIMS willen implementeren, met aanwijzingen over hoe ze zowel de ISO 27701- als de ISO 27001-richtlijnen op dit specifieke onderwerp kunnen toepassen.
Organisaties moeten ISO 27701 bekijken en implementeren naast de artikelen binnen de overheid GDPR richtlijnen. Waar van toepassing hebben we de relevante AVG-artikelen gemarkeerd naast de aangrenzende subclausules.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 5.2.1 – Inzicht in de organisatie en haar context
Referenties ISO 27001 Controle 4.1
Organisaties moeten een mapping-oefening ondergaan die zowel interne als externe factoren opsomt die verband houden met de implementatie van een PIMS.
De organisatie moet kunnen begrijpen hoe zij haar resultaten op het gebied van privacybescherming gaat bereiken, en eventuele problemen die de bescherming van PII in de weg staan, moeten worden geïdentificeerd en aangepakt.
Aanvullende PIMS- en PII-richtlijnen
Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.
Dit bevat:
- Het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’;
- Rekening houden met de unieke reeks eisen van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures;
- Eventuele administratieve factoren, waaronder de dagelijkse leiding van het bedrijf;
- Overeenkomsten met derden of servicecontracten die een impact kunnen hebben op PII en privacybescherming.
Toepasselijke AVG-artikelen
- Artikel 24 – Verantwoordelijkheid van de verwerkingsverantwoordelijke
- Toepasselijk gedeelte – (3)
- Artikel 25 – Gegevensbescherming door ontwerp en standaard
- Toepasselijk gedeelte – (3)
- Artikel 28 – Verwerker
- Toepasselijke secties – (5), (6), (10)
- Artikel 32 – Beveiliging van verwerking
- Toepasselijk gedeelte – (2)
- Artikel 40 – Gedragscodes
- Toepasselijke secties – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artikel 41 – Toezicht op goedgekeurde gedragscodes
- Toepasselijke secties – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artikel 42 – Certificering
- Toepasselijke secties – (1), (2), (3), (4), (5), (6), (7), (8)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 5.2.2 – Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen
Referenties ISO 27001 Controle 4.2
PII en privacybescherming kunnen gevolgen hebben voor een groot aantal werknemers, gebruikers en klanten, zowel intern als extern.
Organisaties moeten een goed inzicht krijgen in de behoeften van het betrokken personeel en in wat ISO als 'belanghebbende partijen' beschouwt.
De behoefte van de organisatie aan het vaststellen en documenteren van:
- Eventuele ‘belanghebbende partijen’ die relevant zijn voor het bredere onderwerp privacybescherming;
- Wat de unieke vereisten zijn van genoemde individuen binnen de reikwijdte van een PIMS;
Organisaties moeten naast praktische en operationele vereisten ook rekening houden met eventuele wettelijke, regelgevende of contractuele verplichtingen.
Aanvullende PIMS- en PII-richtlijnen
Bij het implementeren van een PIMS moeten organisaties een lijst opstellen van geïnteresseerde partijen die ofwel door een PIMS worden getroffen, ofwel een rol te spelen hebben bij de verwerking van PII.
Als het om PII gaat, kan een geïnteresseerde partij een van de volgende partijen zijn (maar niet beperkt tot):
- Een werknemer;
- Een klant;
- Regelgevende, gerechtelijke of toezichthoudende autoriteiten;
- Andere PII-controleurs en -verwerkers.
Het is belangrijk op te merken dat PII-vereisten – zoals gerelateerd aan een PIMS – vaak afkomstig zijn van een breed scala aan bronnen, waaronder:
- Interne processen en doelstellingen;
- Overheids- en/of regelgevende instanties;
- Contractuele verplichtingen met externe organisaties.
Het kan vaak moeilijk zijn voor overheids- en regelgevende organisaties om de naleving van gepubliceerde privacybeschermingsnormen door een organisatie, in haar rol als PII-verwerker en -controleur, te bevestigen.
Als zodanig moeten organisaties van dergelijke instanties verwachten dat zij oproepen tot onafhankelijke beoordelingen van elk relevant managementsysteem, om aan hun eigen auditvereisten te voldoen.
Toepasselijke AVG-artikelen
- Artikel 31 – Samenwerking met de toezichthoudende autoriteit
- Artikel 35 – Gegevensbeschermingseffectbeoordeling
- Toepasselijk gedeelte – (9)
- Artikel 36 – Voorafgaand overleg
- Toepasselijke secties – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 5.2.3 – Bepaling van de reikwijdte van het informatiebeveiligingsbeheersysteem
Referenties ISO 27001 Controle 4.3
ISO beveelt een grondige scoping-oefening aan, zodat organisaties een PIMS kunnen produceren dat ten eerste voldoet aan de eisen op het gebied van privacybescherming en ten tweede niet in delen van het bedrijf terechtkomt die geen aandacht behoeven.
Organisaties moeten het volgende vaststellen en documenteren:
- Eventuele externe of interne problemen, zoals beschreven in ISO 27001 4.1;
- Eisen van derden zoals uiteengezet in ISO 27001 4.2;
- Hoe de organisatie omgaat met zowel zichzelf als externe instanties (bijvoorbeeld klantcontactpunten, ICT-interfaces).
Aanvullende PIMS- en PII-richtlijnen
Alle scopingoefeningen die een PIMS-implementatie in kaart brengen, moeten een grondige beoordeling van de verwerkings- en opslagactiviteiten van PII omvatten.
Toepasselijke AVG-artikelen
- Artikel 32 – Beveiliging van verwerking
- Toepasselijk gedeelte – (2)
ISO 27701 Clausule 5.2.4 – Informatiebeveiligingsbeheersysteem
Referenties ISO 27001 Controle 4.4
Organisaties moeten proberen een PIMS te implementeren, beheren en optimaliseren, in lijn met de gepubliceerde ISO-normen.
Toepasselijke AVG-artikelen
- Artikel 32 – Beveiliging van verwerking
- Toepasselijk gedeelte – (2)
Ondersteunende controles van ISO 27001 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 5.2.1 | De organisatie en haar context begrijpen |
4.1 – Inzicht in de organisatie en haar context voor ISO 27001 |
Artikel (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen |
4.2 – Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen voor ISO 27001 |
Artikel (31), (35), (36) |
| 5.2.3 | Bepalen van de reikwijdte van het Information Security Management System |
4.3 – Bepaling van de reikwijdte van het ISMS voor ISO 27001 |
Artikel (32) |
| 5.2.4 | Informatiebeveiligingsbeheersysteem |
4.4 – Informatiebeveiligingsbeheersysteem (ISMS) voor ISO 27001 |
Artikel (32) |
Hoe u ISO 27701-naleving kunt bereiken via ISMS.online
Het ISMS.online-platform biedt een aanpasbare PIMS-faciliteit die met één klik op de knop monitort, rapporteert en audits uitvoert op basis van zowel ISO 27001 als ISO 27701.
Onze oplossing beschikt over een dynamische tool voor het registreren van verwerkingsactiviteiten die de kopzorgen wegneemt die gepaard gaan met het in kaart brengen van gegevens, het vastleggen van gegevens en audits, met een ingebouwde risicobank die praktische hulp biedt tijdens het hele beoordelings- en beheerproces.
ISO 27701 5.2 biedt een reeks richtlijnen over privacynormen van derden en de relatie tussen een PII-beheerder en een betrokkene, via een verplicht gesteld Data Subjects Rights Request (DRR). Ons DRR-beheersysteem biedt een gecentraliseerde administratiehub die alles afhandelt, van verzoeken tot rapportage en analyse.
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27001- en 27701-certificering gebruik maken van ISMS.online door een demo te boeken.
