Het is essentieel dat organisaties, voordat ze een PIMS implementeren, een duidelijk beeld krijgen van wat hun specifieke privacybescherming/PII-doelstellingen zijn, op alle niveaus van hun informatiebeveiligingsactiviteiten.
Risicobeoordeling zou een sleutelelement moeten zijn van alle privacybeschermingsprotocollen voor de hele organisatie, inclusief inzicht in hoe risico's moeten worden beoordeeld en geanalyseerd, en 'risicobehandeling' – het proces van het wijzigen van risico's door middel van een reeks technische maatregelen.
ISO 27701 5.4 behandelt de stappen die organisaties moeten nemen bij het plannen van een PIMS- of privacybeleid.
ISO 27701 5.4 is gebaseerd op richtlijnen uit ISO 27001 6.1 (Acties om risico's en kansen aan te pakken) en bevat verdere richtlijnen over vier belangrijke subclausules:
Twee subclausules (5.4.1.2 en 5.4.1.3) bevatten beide richtlijnen die rechtstreeks verband houden met artikel 32 van GDPRmeer specifiek, secties (1)(b), (2).
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
In het algemeen moeten organisaties een risicospecifieke aanpak hanteren bij het plannen van een PIMS die:
Bij het opstellen van een plan moeten organisaties:
De richtlijnen in ISO 27701 5.4.1.1 zijn nauw verbonden met het vermogen van een organisatie om haar eisen te begrijpen, en de verwachtingen van interne en externe medewerkers en PII-onderwerpen wier gegevens de organisatie bewaart.
Organisaties moeten een risicobeoordelingsproces voor privacybescherming in kaart brengen en implementeren dat:
Organisaties moeten risicobeoordelingsactiviteiten richten die niet alleen betrekking hebben op informatiebeveiliging, maar ook een aanvulling vormen op de implementatie van een PIMS en op de verwerking en opslag van PII.
Organisaties moeten rekening houden met de gevolgen, niet alleen voor het bedrijf zelf, maar ook voor eventuele PII-opdrachtgevers, mocht er zich een probleem voordoen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Wij zijn kosteneffectief en snel
Organisaties moeten een ‘risicobehandelingsproces’ voor privacybescherming/PII opstellen en implementeren dat:
Organisatorische doelstellingen voor de bescherming van de privacy moeten:
Gedurende het planningsproces moeten organisaties het volgende vaststellen:
ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
---|---|---|---|
5.4.1.1 | Algemeen | 6.1.1 – Algemene aspecten bij het plannen van risico's voor ISO 27001 | Geen |
5.4.1.2 | Risicobeoordeling informatiebeveiliging | 6.1.2 – Informatiebeveiligingsrisicobeoordeling voor ISO 27001 | Artikel (32) |
5.4.1.3 | Behandeling van informatiebeveiligingsrisico's | 6.1.3 – Informatiebeveiligingsrisicobehandeling voor ISO 27001 | Artikel (32) |
5.4.2 | Informatiebeveiligingsdoelstellingen en planning om deze te bereiken | 6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken voor ISO 27001 | Geen |
U moet een Privacy Information Management System (PIMS) opzetten om aan ISO 27701 te voldoen. Met ons vooraf gebouwde Privacy Information Management System (PIMS) kunt u snel en efficiënt klant-, leveranciers- en werknemersinformatie organiseren en verwerken om aan de ISO 27701-vereisten te voldoen.
Privacybeoordelingen kunnen eenvoudig worden opgezet en uitgevoerd, variërend van gegevensbeschermingseffectbeoordelingen tot regelgevings- of nalevingsgereedheidsbeoordelingen.
Bekijk ons volledige scala aan functies via een demo boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo