ISO 27701 Clausule 6.4: Versterking van de veiligheid van personeelszaken
Een essentieel onderdeel van het bevorderen van een proactieve benadering van privacybescherming is het implementeren van robuuste veiligheidscontroles op het gebied van personeelszaken, die de geschiktheid en competentie bepalen van al het personeel dat naar verwachting interactie met PII namens de organisatie.
ISO classificeert dergelijke maatregelen in twee categorieën:
- Pre-employment screening (referenties, identiteitscontroles etc.).
- De contractuele verplichtingen waaraan medewerkers geacht worden zich te houden zodra zij onderdeel worden van de organisatie.
Wat wordt er behandeld in ISO 27701, clausule 6.4
Clausule 6.4 bevat twee belangrijke subclausules die specifieke richtlijnen bevatten gekoppeld aan overeenkomstige informatie binnen ISO 27002, zij het onder het mom van privacybescherming, in plaats van algemene informatiebeveiliging:
- ISO 27701 6.4.1.1 – Screening (referenties ISO 27002 Controle 6.1)
- ISO 27701 6.4.1.2 – Arbeidsvoorwaarden (referenties ISO 27002 Controle 6.2)
In tegenstelling tot andere delen van ISO 27701 is geen van beide clausules relevant voor een specifiek gebied van de AVG, en bevatten ze ook geen aanvullende richtlijnen voor PIMS-gerelateerde activiteiten.
Vanwege een aantal wetgevende en contractuele factoren bevat ISO 27701 6.4.1.2 (voornamelijk arbeidsovereenkomsten) informatie die kruisverwijzingen met verschillende andere clausules in ISO 27002 vereist. Organisaties moeten daarom goed naar hun contractuele voorwaarden kijken. En hun HR-werking dienovereenkomstig aanpassen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.4.1.1 – Screening
Referenties ISO 27002 Controle 6.1
Organisaties moeten een screeningproces opzetten om de veiligheid van de menselijke hulpbronnen te vergroten, inclusief al het fulltime en parttime personeel, en dit proces moet ook worden uitgebreid naar externe contractanten via de relevante leveranciersovereenkomsten.
Organisaties moeten ervoor zorgen dat ze zich bewust zijn van hun verantwoordelijkheid als PII-verwerker bij het verzamelen van informatie over kandidaten en leveranciers, en dat ze zich aan de goede kant moeten houden van de nationale en gedecentraliseerde wetgeving die bepaalt hoe kandidaten worden geïnformeerd over screeningactiviteiten voordat deze worden uitgevoerd.
Antecedentenonderzoek moet minimaal het volgende omvatten:
- Referenties (idealiter een zakelijke en een persoonlijke referentie).
- Een volledige verificatie van het cv van de kandidaat.
- Verificatie van academische, professionele en beroepskwalificaties en certificeringen.
- IDV (Identiteitsverificatie) waarbij rekening wordt gehouden met door de overheid uitgegeven identiteitsmateriaal, of een passend verificatieniveau waarbij dergelijke documenten niet kunnen worden voorgelegd (bijvoorbeeld bankafschriften of correspondentie met de plaatselijke autoriteiten).
Als de kandidaat moet worden ingezet in een functie die commercieel gevoelig is, of die de kandidaat een grote mate van vertrouwen schenkt als hij of zij succesvol wil zijn in zijn sollicitatie, moeten organisaties ook overwegen om verbeterde doorlichtingsprocedures uit te voeren, zoals kredietcontroles en/of kredietcontroles. of controles van strafregisters – indien van toepassing.
Organisaties moeten ook nadenken over manieren om de voortdurende geschiktheid van al het personeel dat in een cruciale rol werkzaam is. Dergelijke procedures moeten worden besloten op basis van: baan per baan, en er mag geen onderscheid worden gemaakt tussen nieuw personeel of bestaand personeel dat is gepromoveerd naar een rol met meer verantwoordelijkheid.
De werkgelegenheidsscreening kan niet altijd tijdig worden afgerond. Wanneer dit gebeurt, moeten organisaties alternatieve handelwijzen overwegen die de risico's die gepaard gaan met een niet-gescreend personeelslid tot een minimum beperken, waaronder:
- Vertraagde onboarding.
- Beperkte toegang tot systemen.
- Het inhouden van bedrijfsmiddelen en apparatuur.
- Beëindiging van het dienstverband.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.4.1.2 – Arbeidsvoorwaarden
Referenties ISO 27002 Controle 6.2
Bij het opstellen en ondertekenen van arbeidsovereenkomsten moet rekening worden gehouden met de informatiebeveiliging van de organisatie, inclusief eventueel onderwerpspecifiek beleid dat is ontwikkeld om de privacybescherming op afdelingsbasis te helpen versterken.
Contracten moeten een mate van privacybeschermingsmaatregelen bevatten die evenredig zijn aan de rol waaraan ze zijn verbonden, en moeten worden herzien in het licht van de geldende wetgeving of wettelijke/contractuele verplichtingen.
De rollen en verantwoordelijkheden op het gebied van privacybescherming moeten tijdens het hele wervingsproces op grote schaal onder de kandidaten worden verspreid. Arbeidsovereenkomsten moeten het volgende omvatten:
- Geheimhoudingsverklaringen die van toepassing zijn op al het personeel dat met vertrouwelijke informatie omgaat en/of bedrijfsmiddelen veiligstelt (zie ISO 27002 6.6).
- Alle wettelijke verplichtingen van de organisatie en de werknemer, vooral die welke te maken hebben met IP- of privacybescherming, zie (zie ISO 27002 5.32 en 5.34).
- Alle relevante verantwoordelijkheden met betrekking tot de classificatie en het beheer van informatie, verwerkingsfaciliteiten en ICT-diensten (zie ISO 27002 5.9 en 5.13).
- Wat de gevolgen zijn voor personeel dat pronkt met het privacybeleid van de organisatie.
- Waar relevant: een reeks verantwoordelijkheden die gedurende een passende periode voortduren nadat het personeel de organisatie heeft verlaten (bijvoorbeeld geheimhoudingsverklaringen, IP-bepalingen).
Naast de doorlopende arbeidsverantwoordelijkheden kan van het personeel ook worden gevraagd zich te houden aan een organisatiebrede 'gedragscode', waarin de basisprincipes van de privacybescherming van een organisatie en de PII-gerelateerde activiteiten worden uiteengezet.
Relevante ISO 27002-controles
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.4.1.1 | Doorlichting |
6.1 – Screening voor ISO 27002 |
Geen |
| 6.4.1.2 | Arbeidsvoorwaarden |
6.2 – Arbeidsvoorwaarden voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Met ons cloudgebaseerde platform heeft u op één plek toegang tot al uw PIMS-bronnen. Met ons eenvoudig te gebruiken platform documenteert u alles wat u nodig heeft om aan te tonen dat u aan de eisen van ISO 27701 voldoet.
Onze Assured Results Method (ARM) ontrafelt de vereisten van ISO 27701 en geeft u vertrouwen naarmate u vordert in de richting van het behalen van de certificering. We hebben een in-house team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u op weg te helpen naar ISO 27701-certificering.
Meer informatie via een demo boeken.
