Plannen voor privacynaleving: ISO 27701-clausule 5.4 begrijpen
Het is essentieel dat organisaties, voordat ze een PIMS implementeren, een duidelijk beeld krijgen van wat hun specifieke privacybescherming/PII-doelstellingen zijn, op alle niveaus van hun informatiebeveiligingsactiviteiten.
Risicobeoordeling zou een sleutelelement moeten zijn van alle privacybeschermingsprotocollen voor de hele organisatie, inclusief inzicht in hoe risico's moeten worden beoordeeld en geanalyseerd, en 'risicobehandeling' – het proces van het wijzigen van risico's door middel van een reeks technische maatregelen.
Wat wordt er behandeld in ISO 27701, clausule 5.4
ISO 27701 5.4 behandelt de stappen die organisaties moeten nemen bij het plannen van een PIMS- of privacybeleid.
ISO 27701 5.4 is gebaseerd op richtlijnen uit ISO 27001 6.1 (Acties om risico's en kansen aan te pakken) en bevat verdere richtlijnen over vier belangrijke subclausules:
- ISO 27701 Clausule 5.4.1.1 (Referenties ISO 27001 Controle 6.1.1)
- ISO 27701 Clausule 5.4.1.2 (Referenties ISO 27001 Controle 6.1.2)
- ISO 27701 Clausule 5.4.1.3 (Referenties ISO 27001 Controle 6.1.3)
- ISO 27701 Clausule 5.4.2 (Referenties ISO 27001 Controle 6.2)
Twee subclausules (5.4.1.2 en 5.4.1.3) bevatten beide richtlijnen die rechtstreeks verband houden met artikel 32 van GDPRmeer specifiek, secties (1)(b), (2).
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 5.4.1.1 – Algemeen
Referenties ISO 27001 Controle 6.1.1
In het algemeen moeten organisaties een risicospecifieke aanpak hanteren bij het plannen van een PIMS die:
- Werkt aan het bouwen van een PIMS dat een reeks specifieke doelstellingen voor privacybescherming bereikt.
- Streeft ernaar om eventuele nadelige effecten volledig uit te roeien of te minimaliseren.
- Streeft naar de voortdurende ontwikkeling en stapsgewijze verbetering van activiteiten op het gebied van PII en privacybescherming.
Bij het opstellen van een plan moeten organisaties:
- Houd rekening met de specifieke acties die nodig zijn om eventuele risico's aan te pakken en implementeer deze in een PIMS.
- Evalueer voortdurend hun aanpak.
Relevante ISO 27001-controles
De richtlijnen in ISO 27701 5.4.1.1 zijn nauw verbonden met het vermogen van een organisatie om haar eisen te begrijpen, en de verwachtingen van interne en externe medewerkers en PII-onderwerpen wier gegevens de organisatie bewaart.
- ISO 27001 4.1 – Inzicht in de organisatie en haar context.
- ISO 27001 4.2 – Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen.
ISO 27701 Clausule 5.4.1.2 – Risicobeoordeling van informatiebeveiliging
Referenties ISO 27001 Controle 6.1.2
Organisaties moeten een risicobeoordelingsproces voor privacybescherming in kaart brengen en implementeren dat:
- Omvat risicoacceptatiecriteria voor het uitvoeren van beoordelingen van de privacybescherming.
- Biedt een raamwerk voor de vergelijkbare analyse van alle beoordelingen van privacybescherming.
- Identificeert risico's op het gebied van privacybescherming (en hun eigenaren).
- Houdt rekening met de gevaren en risico's die inherent zijn aan het verlies van 'vertrouwelijkheid, beschikbaarheid en integriteit' van PII.
- Analyseert de risico's op het gebied van privacybescherming naast drie factoren:
- Hun mogelijke gevolgen.
- De waarschijnlijkheid dat ze voorkomen.
- Hun ernst.
- Analyseert en prioriteert alle geïdentificeerde risico's in overeenstemming met hun risiconiveau.
Aanvullende PIMS- en PII-richtlijnen
Organisaties moeten risicobeoordelingsactiviteiten richten die niet alleen betrekking hebben op informatiebeveiliging, maar ook een aanvulling vormen op de implementatie van een PIMS en op de verwerking en opslag van PII.
Organisaties moeten rekening houden met de gevolgen, niet alleen voor het bedrijf zelf, maar ook voor eventuele PII-opdrachtgevers, mocht er zich een probleem voordoen.
Toepasselijke AVG-artikelen
- Artikel 32 – Beveiliging van verwerking
- Toepasselijke secties – (1)(b), (2)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 5.4.1.3 – Behandeling van informatiebeveiligingsrisico's
Referenties ISO 27001 Controle 6.1.3
Organisaties moeten een ‘risicobehandelingsproces’ voor privacybescherming/PII opstellen en implementeren dat:
- een 'risicobehandelingsplan' voor privacybescherming implementeren.
- identificeert hoe een PIMS individuele risiconiveaus moet behandelen, op basis van een reeks beoordelingsresultaten.
- benadrukt een reeks controles die nodig zijn om risicobehandeling op het gebied van privacybescherming te implementeren.
- kruisverwijzingen naar alle controles die zijn geïdentificeerd met de uitgebreide lijst van ISO in Bijlage A van ISO 27001.
- documenteren en rechtvaardigen van het gebruik van eventuele controles die worden gebruikt in een formele 'Verklaring van Toepasselijkheid'.
- Vraag goedkeuring aan eventuele risico-eigenaren voordat u een behandelplan voor privacybeschermingsrisico's opstelt, waarin eventuele 'resterende' privacybeschermings- en PII-risico's zijn opgenomen.
Toepasselijke AVG-artikelen
- Artikel 32 – Beveiliging van verwerking
- Toepasselijke secties – (1)(b), (2)
ISO 27701 Clausule 5.4.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken
Referenties ISO 27001 Controle 6.2
Organisatorische doelstellingen voor de bescherming van de privacy moeten:
- Wees afgestemd op ander informatiebeveiligingsbeleid.
- Wees kwantificeerbaar, voor rapportage- en beoordelingsdoeleinden.
- Gegevens uit risicobeoordelingen en risicobehandelingen integreren.
- Beschikbaar worden gesteld aan alle relevante personeelsleden en betrokkenen.
- Worden voortdurend verbeterd en bijgewerkt in overeenstemming met operationele resultaten en gebeurtenissen uit de echte wereld.
- Wees gedocumenteerd.
Gedurende het planningsproces moeten organisaties het volgende vaststellen:
- Alle middelen die nodig zijn.
- Wie krijgt het eigenaarschap over de doelstellingen, geheel of gedeeltelijk.
- Wanneer de gestelde doelstellingen van een organisatie zullen worden bereikt.
- Hoe gegevens moeten worden geanalyseerd.
Ondersteunende controles van ISO 27001 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 5.4.1.1 | Algemeen |
6.1.1 – Algemene aspecten bij het plannen van risico's voor ISO 27001 |
Geen |
| 5.4.1.2 | Risicobeoordeling informatiebeveiliging |
6.1.2 – Informatiebeveiligingsrisicobeoordeling voor ISO 27001 |
Artikel (32) |
| 5.4.1.3 | Behandeling van informatiebeveiligingsrisico's |
6.1.3 – Informatiebeveiligingsrisicobehandeling voor ISO 27001 |
Artikel (32) |
| 5.4.2 | Informatiebeveiligingsdoelstellingen en planning om deze te bereiken |
6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken voor ISO 27001 |
Geen |
Hoe ISMS.online helpt
U moet een Privacy Information Management System (PIMS) opzetten om aan ISO 27701 te voldoen. Met ons vooraf gebouwde Privacy Information Management System (PIMS) kunt u snel en efficiënt klant-, leveranciers- en werknemersinformatie organiseren en verwerken om aan de ISO 27701-vereisten te voldoen.
Privacybeoordelingen kunnen eenvoudig worden opgezet en uitgevoerd, variërend van gegevensbeschermingseffectbeoordelingen tot regelgevings- of nalevingsgereedheidsbeoordelingen.
Bekijk ons volledige scala aan functies via een demo boeken.
