Hoe ISO 27701 privacy waarborgt tijdens het werk: een gids voor clausule 6.4.2
Organisaties hebben een verplichting jegens hun personeel, die zich uitstrekt tot het informeren van medewerkers over wat er van hen wordt verwacht in het kader van privacybescherming en PII – zowel op algemeen als op onderwerpspecifiek niveau.
In hun hoedanigheid van PII-beheerders moeten organisaties voortdurende training- en bewustmakingsprogramma's bieden en zich houden aan een robuust disciplinair beleid dat aan beide kanten duidelijke verwachtingen schept in het geval van een datalek.
Wat wordt er behandeld in ISO 27701, clausule 6.4.2
ISO 27701 6.4.2 bevat drie belangrijke subclausules die verschillende aspecten van arbeidsspecifieke onderwerpen op het gebied van privacybescherming behandelen.
Elk onderwerp bevat begeleiding van een aantal ISO 27002-controles, gepresenteerd in de context van organisatorisch privacy-informatiebeheer en PII-bescherming:
- ISO 27701 Clausule 6.4.2.1 – Managementverantwoordelijkheden (Referenties ISO 27002 Controle 5.4)
- ISO 27701 Clausule 6.4.2.2 – Informatiebeveiligingsbewustzijn, opleiding en training (Referenties ISO 27002 Controle 6.3)
- ISO 27701 Clausule 6.4.2.3 – Disciplinaire procedures (Referenties ISO 27002 Controle 6.4)
Aanvullende PIMS-specifieke richtlijnen met betrekking tot de verwerking van PII zijn te vinden in artikel 6.4.2.1, dat ook gekoppeld is aan de Britse AVG-wetgeving.
Houd er rekening mee dat AVG-vergelijkingen bedoeld zijn voor uitsluitend indicatieve doeleinden. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.4.2.1 – Verantwoordelijkheden van het management
Referenties ISO 27002 Controle 5.4
Het management speelt een sleutelrol bij het handhaven van de normen voor privacybescherming – zowel vanuit administratief perspectief als om ervoor te zorgen dat medewerkers begrijpen wat er van hen wordt verwacht en zich dienovereenkomstig gedragen.
Het senior management moet ervoor zorgen dat al het personeel:
- Erken hun individuele verantwoordelijkheden op het gebied van privacy-informatiebeheer en privacybescherming – zowel in het algemeen als vanuit een onderwerpspecifiek perspectief – voordat ze interactie mogen hebben met PII en gerelateerde activa (zie ISO 27002 6.3).
- Worden voorzien van een duidelijke set richtlijnen en procedures die de privacybescherming regelen binnen de context van hun rol.
- Krijgen de middelen en de juiste bevoegdheidsniveaus om projecten/veranderingen te plannen en te voldoen aan het algemene en onderwerpspecifieke privacybeleid van de organisatie.
- Begrijp de arbeidsvoorwaarden, gerelateerd aan privacybescherming, en wat deze in de praktijk betekenen.
- Krijgen de kans om hun begrip van privacybescherming te ontwikkelen, zowel als concept als als een voortdurende operationele overweging.
- Begrijp hoe u, en krijgt de middelen om, anoniem inbreuken op het privacybeleid binnen de organisatie te communiceren (ook wel “klokkenluiden” genoemd).
Relevante controles
- ISO 27002 6.3
ISO 27701 Clausule 6.4.2.2 – Informatiebeveiligingsbewustzijn, onderwijs en training
Referenties ISO 27002 Controle 6.3
Training
Doorlopende training op de werkplek zorgt ervoor dat het personeel op de hoogte blijft van het privacybeleid van de organisatie (algemeen en onderwerpspecifiek), veranderingen binnen de PII-wetgeving en sectorspecifieke regelgevingsrichtlijnen.
Als algemene aanpak moeten organisaties periodieke trainingsprogramma's voor hun personeel implementeren (ook tijdens de on-boarding-fase) die specifiek aansluiten bij hun eigen algemene en onderwerpspecifieke privacybeschermingsbeleid en PIMS-gerelateerde vereisten.
Trainingsformaten kunnen zijn:
- e-learning.
- Eén-op-één advies.
- Medewerkers schaduwen elkaar.
- Toegewijde trainingsseminars die worden gegeven door onderwerpspecifieke of algemene specialisten op het gebied van privacybescherming.
- Begeleiding op de werkvloer.
Personeel dat een gespecialiseerde rol speelt op het gebied van privacybescherming – bijvoorbeeld ICT-onderhoudspersoneel – moet profiteren van gespecialiseerde opleidingsplannen waarin rekening wordt gehouden met de integrale rol die zij spelen bij het beschermen van PII.
Trainingsplannen/sessies moeten worden afgesloten met een beoordeling die de organisatie een top-down overzicht geeft van de competentieniveaus per werknemer.
Bewustwordingsprogramma's
Als aanvulling op de training op de werkplek moeten organisaties ook bewustmakingsprogramma's voor privacybescherming uitrollen die hun personeel voorzien van een reeks materialen die fungeren als informatiepunten over het onderwerp PII en de privacybescherming van de organisatie.
Bewustmakingsprogramma's kunnen het volgende omvatten:
- folders.
- boekjes.
- kantoorposters.
- speciale websites.
- teambriefingsessies.
De bewustmakingsinspanningen moeten gericht zijn op:
- Hoe het management van plan is om de naleving van de privacybescherming in de hele organisatie te handhaven, en wie de belangrijkste contactpersonen zijn voor PII-gerelateerde zaken.
- Wat de compliance-eisen van de organisatie zijn, rekening houdend met wetten, wettelijke bepalingen, contractuele verplichtingen en leveranciersovereenkomsten.
- Benadrukken van de noodzaak van persoonlijke verantwoordelijkheid als het gaat om het beschermen van PII, en wat de gevolgen zijn voor toevallige of doelbewuste procedurele inbreuken.
- Fundamentele ICT-beveiligingsprincipes, zoals wachtwoordbeveiliging en incidentrapportage.
- Hoe personeel zichzelf kan informeren over de fijnere aspecten van privacybescherming (verder lezen, bronnenlijsten enz.).
Aanvullende PIMS-specifieke richtlijnen
PII moet worden behandeld als een afzonderlijk onderwerp binnen de trainingsprogramma's voor privacybescherming.
Het personeel moet zich scherp bewust worden gemaakt van de specifieke juridische, commerciële, reputatie- en disciplinaire gevolgen die voortvloeien uit het verduisteren en/of verkeerd omgaan met PII.
AVG-richtlijnen
- Artikel 39 – (1)(b)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.4.2.3 – Disciplinaire procedures
Referenties ISO 27002 Controle 6.4
Organisaties moeten disciplinaire procedures ontwikkelen die tegemoetkomen aan personen die het algemene of onderwerpspecifieke beleid inzake privacybescherming hebben geschonden.
Voordat er disciplinaire maatregelen worden genomen, is het belangrijk dat de organisatie bevestigt dat er inderdaad een beleidsschending heeft plaatsgevonden (zie ISO 27002 5.28).
Bij disciplinaire procedures moet rekening worden gehouden met:
- De onderliggende aard van het datalek en wat de verschillende gevolgen zijn.
- De motieven van de betrokken persoon en of de inbreuk opzettelijk was of niet.
- Hoe vaak het individu het privacybeleid heeft geschonden.
- Als het individu voldoende training heeft gekregen over de relevante aspecten van privacybescherming.
- Elk individueel recht op anonimiteit, gedurende het gehele disciplinaire proces.
Disciplinaire maatregelen in het geval van een bevestigde inbreuk moeten worden gebruikt als afschrikmiddel voor soortgelijke activiteiten, en moeten rekening houden met de verplichtingen van de organisatie als PII-beheerder en -verwerker, samen met alle relevante wetten, regelgevende richtlijnen en contractuele verplichtingen.
Relevante controles
- ISO 27002 5.28
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.4.2.1 | Directie verantwoordelijkheden |
5.4 – Managementverantwoordelijkheden voor ISO 27002 |
Geen |
| 6.4.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
6.3 – Informatiebeveiligingsbewustzijn, onderwijs en training voor ISO 27002 |
Artikel (39) |
| 6.4.2.3 | Disciplinaire procedures |
6.4 – Disciplinair proces voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
We hebben je gedekt.
Als u om welke reden dan ook een gebrek aan vertrouwen, vermogen of de drang ervaart om actie te ondernemen tijdens uw reis naar ISO 27701, kunnen we ons team van interne experts beschikbaar stellen of een van onze vertrouwde partners aanbevelen om uw inspanningen een boost te geven.
Hier om te helpen wanneer je het nodig hebt.
Meer informatie via een demo boeken.
