Belangrijkste elementen van clausule 6.2: Beleidskader voor PII-bescherming
Het privacybeschermingsbeleid biedt organisaties een operationeel raamwerk om zich te gedragen als een verantwoordelijke gegevensbeheerder en het personeel voor te lichten over hun dagelijkse verplichtingen op het gebied van PII.
Beleidsdocumentatie moet worden goedgekeurd door het senior management en aan het personeel worden gecommuniceerd, zodat iedereen in de organisatie naar dezelfde reeks PII-gerelateerde leidende principes toewerkt.
Wat wordt er behandeld in ISO 27701, clausule 6.2
ISO 27701 6.2 bevat twee subclausules die specifieke richtlijnen voor privacybescherming bieden:
- ISO 27701 6.2.1.1 – Beleid voor informatiebeveiliging (referenties ISO 27002 Controle 5.1)
- ISO 27701 6.2.1.2 – Herziening van het beleid voor informatiebeveiliging (referenties ISO 27002 Controle 5.1)
Net als bij andere clausules in de standaard, ISO 27701 clausule 6.2 verwijst terug naar ISO 27002 bij het uiteenzetten hoe organisaties moeten omgaan met PII- en PIMS-gerelateerde informatie.
De formulering van ISO 27701 6.2 bevat verwijzingen naar ISO 27002:2013, maar deze norm is nu vervangen door een recentere versie: ISO 27002:2022. Waar wordt verwezen naar clausules in ISO 27002:2013, hebben we citaten vergeleken met hun bijgewerkte versies in ISO 27002:2022.
Hiertoe is ISO 27701 6.2 gekoppeld aan twee normen uit ISO 27002:2013 (5.1.1 en 5.1.2) die binnen ISO 27002:2022 (5.1) zijn samengevoegd tot één norm.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.2.1.1 – Beleid voor informatiebeveiliging
Referenties ISO 27002 Controle 5.1
ISO pleit voor een tweeledige aanpak van de privacybescherming van organisaties, die het volgende omvat:
- Een algemeen privacybeleid.
- Onderwerpspecifiek privacybeleid voor privacybescherming.
Beide typen beleid kunnen in één document worden gecombineerd of naar eigen goeddunken van elkaar worden gescheiden.
Het beleid moet worden verspreid onder alle relevante personeelsleden (en indien nodig extern personeel) om voortdurende naleving van de interne en externe vereisten voor privacybescherming te garanderen.
Iedereen die een polis ontvangt, moet worden gevraagd om, bij voorkeur schriftelijk, te bevestigen dat hij begrijpt wat er van hem wordt gevraagd en bereid is hieraan te voldoen.
Het beleid moet worden herzien wanneer er wijzigingen worden aangebracht in:
- Bedrijfsstrategie.
- Operationele praktijken/technische omgevingen.
- Alle wetten (inclusief AVG), wettelijke bepalingen of algemene PII-gerelateerde richtlijnen waaraan de organisatie zich moet houden.
- Risiconiveaus voor privacybescherming en het heersende/geprojecteerde dreigingslandschap.
Onderwerpspecifiek beleid
Een onderwerpspecifieke benadering van privacybescherming geeft organisaties de vrijheid om individuele elementen van hun gegevensverwerking/informatiebeveiligingsactiviteiten per onderwerp te behandelen, met voor elk een apart beleid.
Onderwerpspecifieke gebieden kunnen ICT-functies omvatten zoals toegangscontrole, netwerkbeveiliging, BUDR-planning en encryptieprocessen.
Elk onderwerpspecifiek beleid moet worden opgesteld in lijn met het overkoepelende privacybeleid van de organisatie, en worden opgesteld door afdelingsmedewerkers (niet noodzakelijk het senior management) die over het relevante niveau van expertise en competentie beschikken op het te overwegen gebied.
Algemeen privacybeleid
Het senior management moet een privacybeleid op het hoogste niveau opstellen, waarin duidelijk de processen en praktische stappen worden beschreven die zullen worden genomen om PII te beschermen. Het privacybeleid van de organisatie moet informatie bevatten over en relevant blijven voor:
- De algemene bedrijfsstrategie.
- Alle geldende wettelijke, wettelijke of contractuele vereisten.
- Eventuele duidelijke en aanwezige risico's voor de bescherming van de privacy.
Het privacybeschermingsbeleid moet het volgende van de organisatie definiëren:
- Operationele definitie van privacybescherming.
- Opgegeven doelstellingen voor privacybescherming.
- Een bredere reeks bestuursbeginselen met betrekking tot de bescherming van PII.
- Toewijding om hun PII-gerelateerde doelstellingen te behalen en deze voortdurend te verbeteren.
- Benadering van het delegeren van de verantwoordelijkheid voor het gehele of een deel van het privacybeschermingsbeleid naar de relevante roltypes.
- Aanpak voor het omgaan met uitzonderingen op het beleid.
- Plannen voor het senior management om wijzigingen te beoordelen en goed te keuren.
Aanvullende PII-specifieke richtlijnen
Organisaties moeten beleid en procedures implementeren die specifiek omgaan met heersende PII-gerelateerde wetgeving, regelgevingsrichtlijnen of contractuele overeenkomsten. Als er externe organisaties bij betrokken zijn, moet het beleid de PII-verantwoordelijkheden aan beide kanten duidelijk omschrijven.
Toepasselijke AVG-artikelen
- Artikel 24 – (24)(2)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.2.1.2 – Herziening van het beleid voor informatiebeveiliging
Referenties ISO 27002 Controle 5.1
ISO 27701 clausule 6.2.1.2 bevat precies dezelfde richtlijnen als ISO 27701 clausule 6.2.1.1, zonder aanvullende PII-gerelateerde eisen.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.2.1.1 | Beleid voor informatiebeveiliging |
5.1 – Beleid voor informatiebeveiliging voor ISO 27002 |
Artikel (24) |
| 6.2.1.2 | Herziening van het beleid voor informatiebeveiliging |
5.1 – Beleid voor informatiebeveiliging voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Het kan lastig zijn om te weten waar je moet beginnen met ISO 27701, vooral als je nog nooit zoiets als dit hebt hoeven doen. Dit is waar ISMS.online in beeld komt!
Onze ISO 27701-oplossingen bieden raamwerken waarmee uw organisatie de naleving van ISO 27701 kan aantonen.
Onze experts op het gebied van informatiebeveiliging kunnen met u samenwerken om ervoor te zorgen dat u een logisch implementatieproces ontwikkelt dat aansluit bij het online documentatieframework.
Lees meer en krijg een praktische demonstratie door een demo boeken.
