Meteen naar de inhoud
ISMS.online

ISO 27701 – Clausule 6.15 – Naleving

ISO 27701 Clausule 6.15 richt zich op het waarborgen van de naleving van wettelijke en contractuele privacyvereisten en benadrukt het uitvoeren van regelmatige beoordelingen van de informatiebeveiliging om PII te beschermen en de privacybescherming te verbeteren.

Auteur
Toby Cane
Bijgewerkt 19, 2025
4 / 5 sterren

Het bereiken van naleving van ISO 27701 Clausule 6.15: Een volledig overzicht

Naleving is een essentieel onderdeel van elke privacybeschermingsoperatie. Organisaties moeten kunnen aantonen dat zij voldoen aan hun verplichtingen ten aanzien van PII en de systemen die worden gebruikt om privacygerelateerd materiaal op te slaan en te verwerken.

Wat wordt er behandeld in ISO 27701, clausule 6.15

ISO 27701 6.15 behandelt naleving op twee hoofdgebieden: naleving van wettelijke en contractuele vereistenen beoordelingen van informatiebeveiliging (Dit laatste is het belangrijkste middel om gevallen van niet-naleving aan het licht te brengen en eventuele privacygerelateerde problemen op te lossen).

  • ISO 27701 6.15.1.1 – Identificatie van toepasselijke wetgeving en contractuele vereisten (ISO 27002 Controle 5.31)
  • ISO 27701 6.15.1.2 – Intellectuele eigendomsrechten (ISO 27002 Controle 5.32)
  • ISO 27701 6.15.1.3 – Bescherming van documenten (ISO 27002 Controle 5.33)
  • ISO 27701 6.15.1.4 – Privacy en bescherming van persoonlijk identificeerbare informatie (ISO 27002 Controle 5.34)
  • ISO 27701 6.15.1.5 - Regulering van cryptografische controles (ISO 27002 Controle 5.31)
  • ISO 27701 6.15.2.2 – Naleving van beveiligingsbeleid en -normen (ISO 27002 Controle 5.36)
  • ISO 27701 6.15.2.3 – Technische nalevingsbeoordeling (ISO 27002 Controle 5.36)

Vier subclausules bevatten informatie die relevant is voor Groot-Brittannië GDPR wetgeving – voor uw gemak hebben we de artikelreferenties onder elke subclausule vermeld:

  • ISO 27701 6.15.1.1
  • ISO 27701 6.15.1.3
  • ISO 27701 6.15.2.1
  • ISO 27701 6.15.2.3


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


ISO 27701 Clausule 6.15.1.1 – Identificatie van toepasselijke wetgeving en contractuele vereisten

Referenties ISO 27002 Controle 5.31

Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:

  • Opstellen en/of aanpassen van privacy-informatiebeveiligingsprocedures.
  • Het categoriseren van informatie.
  • Beginnen met risicobeoordelingen met betrekking tot activiteiten op het gebied van privacy-informatiebeveiliging.
  • Het aangaan van leveranciersrelaties, inclusief eventuele contractuele verplichtingen in de hele toeleveringsketen.

Wetgevende en regelgevende factoren

Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.

Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.

Geheimschrift

Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:

  • Houd u aan alle wetten die van toepassing zijn op de import en export van hardware of software die mogelijk een cryptografische functie kan vervullen.
  • Toegang bieden tot gecodeerde informatie volgens de wetten van het rechtsgebied waarin zij actief zijn.
  • Gebruik drie belangrijke elementen van encryptie:
    • Digitale handtekeningen.
    • Zeehonden.
    • Digitale certificaten.

Toepasselijke AVG-artikelen

  • Artikel 5 – (1)(f)
  • Artikel 28 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), ( 3)(g), (3)(h)
  • Artikel 30 – (2)(d)
  • Artikel 32 – (1)(b)

Relevante ISO 27002-controles

  • ISO 27002 5.20

ISO 27701 Clausule 6.15.1.2 – Intellectuele eigendomsrechten

Referenties ISO 27002 Controle 5.32

Om gegevens, software of activa die als intellectueel eigendom (IP) kunnen worden beschouwd, te beschermen, moeten organisaties:

  • Houd u aan een ‘onderwerpspecifiek’ beleid dat zich bezighoudt met IE-rechten, waarbij van geval tot geval rekening wordt gehouden met IE.
  • Houd u aan procedures die bepalen hoe IP-integriteit kan worden gehandhaafd terwijl gebruik wordt gemaakt van organisatorische software en producten.
  • Maak alleen gebruik van gerenommeerde bronnen om software aan te schaffen, bij het kopen, huren of leasen van software en softwareabonnementen.
  • Bewaar de eigendomsdocumentatie (elektronisch of fysiek).
  • Houd u aan de limieten voor softwaregebruik.
  • Voer periodieke softwarebeoordelingen uit om het gebruik van ongeautoriseerde of potentieel schadelijke applicaties te voorkomen.
  • Zorg ervoor dat softwarelicenties geldig en up-to-date zijn en dat de richtlijnen voor redelijk gebruik worden nageleefd.
  • Stel procedures op die zorgen voor een veilige en conforme verwijdering van softwaremiddelen.
  • (Als het om commerciële opnames gaat), zorg ervoor dat geen enkel deel van de opname op enige ongeoorloofde wijze wordt geëxtraheerd, gekopieerd of geconverteerd.
  • Zorg ervoor dat tekstgegevens naast digitale media worden beschouwd.


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


ISO 27701 Clausule 6.15.1.3 – Bescherming van documenten

Referenties ISO 27002 Controle 5.33

Organisaties moeten recordbeheer overwegen op vier belangrijke gebieden:

  • Authenticity
  • Betrouwbaarheid
  • Integriteit
  • bruikbaarheid

Om een ​​functioneel archiefsysteem te onderhouden dat PII en privacygerelateerde informatie beschermt, moeten organisaties:

  • Publiceer richtlijnen die betrekking hebben op:
    • Storage.
    • Afhandeling (keten van bewaring).
    • Beschikbaarheid.
    • Het voorkomen van manipulatie.
  • Geef aan hoe lang elk recordtype moet worden bewaard.
  • Houd u aan alle wetten die te maken hebben met het bijhouden van gegevens.
  • Voldoe aan de verwachtingen van klanten over de manier waarop organisaties met hun administratie moeten omgaan.
  • Vernietig documenten zodra ze niet langer nodig zijn.
  • Classificeer records op basis van hun beveiligingsrisico, bijvoorbeeld:
    • Accounting.
    • Zakelijke transacties.
    • Personeelsdossiers.
    • Juridisch
  • Zorg ervoor dat ze binnen een aanvaardbare termijn gegevens kunnen opvragen, als een derde partij of wetshandhavingsinstantie daarom vraagt.
  • Houd u altijd aan de richtlijnen van de fabrikant bij het opslaan of hanteren van gegevens op elektronische mediabronnen.

Toepasselijke AVG-artikelen

  • Artikel 5 – (2)
  • Artikel 24 – (2)

ISO 27701 Clausule 6.15.1.4 – Privacy en bescherming van persoonlijk identificeerbare informatie

Referenties ISO 27002 Controle 5.34

Organisaties moeten PII behandelen als een onderwerpspecifiek concept dat moet worden aangepakt binnen de reikwijdte van talrijke verschillende bedrijfsfuncties.

Eerst en vooral moeten organisaties beleid implementeren dat tegemoetkomt aan drie hoofdaspecten van de verwerking en opslag van PII:

  • Behoud
  • Privacy
  • Bescherming

Organisaties moeten ervoor zorgen dat alle werknemers zich bewust zijn van hun verplichtingen ten aanzien van de omgang met PII, en niet alleen van degenen die er dagelijks mee te maken krijgen als onderdeel van hun werk.

Privacyfunctionarissen

Organisaties moeten een Privacy Officer aanstellen, wiens taak het is om advies te geven aan werknemers en externe organisaties op het gebied van PII, naast het geven van advies aan het senior management over hoe de integriteit en beschikbaarheid van privacy-informatie kan worden gehandhaafd.

ISO 27701 Clausule 6.15.1.5 – Regulering van cryptografische controles

Referenties ISO 27002 Controle 5.31

Zie ISO 27701 clausule 6.15.1.1

ISO 27701 Clausule 6.15.2.1 – Onafhankelijke beoordeling van informatiebeveiliging

Referenties ISO 27002 Controle 5.35

Organisaties moeten processen ontwikkelen die voorzien in onafhankelijke beoordelingen van hun privacy-informatiebeveiligingspraktijken, inclusief zowel onderwerpspecifiek beleid als algemeen beleid.

Beoordelingen moeten worden uitgevoerd door:

  • Interne auditors.
  • Onafhankelijke afdelingsmanagers.
  • Gespecialiseerde externe organisaties.

Beoordelingen moeten onafhankelijk zijn en worden uitgevoerd door personen met voldoende kennis van de richtlijnen voor privacybescherming en de eigen procedures van de organisatie.

Beoordelaars moeten vaststellen of de beveiligingspraktijken voor privacy-informatie in overeenstemming zijn met de “gedocumenteerde doelstellingen en vereisten” van de organisatie.

Naast gestructureerde periodieke beoordelingen kunnen organisaties ook de noodzaak tegenkomen om ad-hocbeoordelingen uit te voeren die worden veroorzaakt door bepaalde gebeurtenissen, waaronder:

  • Naar aanleiding van wijzigingen in intern beleid, wetten, richtlijnen en voorschriften die van invloed zijn op de privacybescherming.
  • Na grote incidenten die impact hebben gehad op de privacybescherming.
  • Wanneer er een nieuw bedrijf wordt opgericht of er grote veranderingen worden doorgevoerd in het huidige bedrijf.
  • Na de adoptie van een nieuw product of nieuwe dienst die op enigerlei wijze met privacybescherming te maken heeft.

Toepasselijke AVG-artikelen

  • Artikel 32 – (1)(d), (2)


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


ISO 27701 Clausule 6.15.2.2 – Naleving van beveiligingsbeleid en -normen

Referenties ISO 27002 Controle 5.36

Organisaties moeten ervoor zorgen dat personeel het privacybeleid over het volledige spectrum van bedrijfsactiviteiten kan beoordelen.

Het management moet technische methoden ontwikkelen voor het rapporteren over de naleving van de privacywetgeving (inclusief automatisering en op maat gemaakte tools). Rapporten moeten worden geregistreerd, opgeslagen en geanalyseerd om de inspanningen op het gebied van PII-beveiliging en privacybescherming verder te verbeteren.

Wanneer nalevingsproblemen worden ontdekt, moeten organisaties:

  • Stel de oorzaak vast.
  • Bepaal een methode voor corrigerende maatregelen om lacunes in de naleving te dichten.
  • Bekijk het probleem na een passende periode opnieuw om er zeker van te zijn dat het probleem is opgelost.

Het is van cruciaal belang dat er zo snel mogelijk corrigerende maatregelen worden genomen. Als problemen bij de volgende beoordeling nog niet volledig zijn opgelost, moet er op zijn minst bewijs worden geleverd waaruit blijkt dat er vooruitgang wordt geboekt.

ISO 27701 Clausule 6.15.2.3 – Technische nalevingsbeoordeling

Referenties ISO 27002 Controle 5.36

Zie ISO 27701 clausule 6.15.2.2

Toepasselijke AVG-artikelen

  • Artikel 32 – (1)(d), (2)

Ondersteunende controles van ISO 27002 en AVG

ISO 27701-clausule-identificatie ISO 27701 Clausulenaam ISO 27002-vereiste Bijbehorende AVG-artikelen
6.15.1.1 Identificatie van toepasselijke wetgeving en contractuele vereisten
5.31 – Wettelijke, statutaire, regelgevende en contractuele vereisten voor ISO 27002
 		Artikelen (5), (28), (30), (32)
6.15.1.2 Intellectuele eigendomsrechten
5.32 – Intellectuele eigendomsrechten voor ISO 27002
 		Geen
6.15.1.3 Bescherming van records
5.33 – Bescherming van documenten voor ISO 27002
 		Artikelen (5), (24)
6.15.1.4 Privacy en bescherming van persoonlijk identificeerbare informatie
5.34 – Privacy en bescherming van PII voor ISO 27002
 		Geen
6.15.1.5 Regulering van cryptografische controles
5.31 – Wettelijke, statutaire, regelgevende en contractuele vereisten voor ISO 27002
 		Geen
6.15.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.35 – Onafhankelijke beoordeling van informatiebeveiliging voor ISO 27002
 		Artikel (32)
6.15.2.2 Naleving van beveiligingsbeleid en -normen
5.36 – Naleving van beleid, regels en normen voor informatiebeveiliging voor ISO 27002
 		Geen
6.15.2.3 Technische nalevingsbeoordeling
5.36 – Naleving van beleid, regels en normen voor informatiebeveiliging voor ISO 27002
 		Artikel (32)

Hoe ISMS.online helpt

ISO 27701 is niet alleen een raamwerk dat organisaties kunnen adopteren; het betekent het aanpassen van de manier waarop mensen data begrijpen, ermee omgaan en ermee omgaan.

Bij ISMS.online hebben we ons systeem zo ontworpen dat u en uw personeel kunnen profiteren van onze gebruiksvriendelijke interface voor het documenteren van uw ISO-traject.

We bieden ook videobronnen en toegang tot informatiebeveiligingsprofessionals om u te helpen standaarden in uw bedrijf te integreren.

Meer informatie via het boeken van een hands-on demo.

Toby Cane

Partner Klantensuccesmanager

Toby Cane is Senior Partner Success Manager voor ISMS.online. Hij werkt al bijna vier jaar voor het bedrijf en heeft diverse functies vervuld, waaronder het hosten van hun webinars. Voordat hij in SaaS ging werken, was Toby docent in het voortgezet onderwijs.

LinkedIn

ISO 27701-clausules

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Klaar voor de start?

Demo boeken