Begrijpen van ISO 27701 Clausule 7.2: Voorwaarden voor rechtmatige PII-verwerking
ISO 27701 Clausule 7.2 (Voorwaarden voor verzameling en verwerking) bevat richtlijnen over hoe u kunt bewijzen en documenteren dat de PII-verwerkingsactiviteiten van de organisatie wettig zijn en binnen de relevante wettelijke grenzen opereren.
Hier volgt een overzicht van de clausulespecifieke richtlijnen van ISO, samen met de bijbehorende Britse richtlijnen GDPR citaties (tabel met gekoppelde citaties onderaan de pagina).
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27701 Clausule 7.2.1 – Doel identificeren en documenteren
Doel van artikel 7.2.1
Organisaties moeten eerst de specifieke redenen identificeren en vervolgens vastleggen voor de verwerking van de PII die zij gebruiken.
Richtsnoer voor artikel 7.2.1
PII-opdrachtgevers moeten volledig op de hoogte zijn van alle verschillende redenen waarom hun PII wordt verwerkt.
Het is de verantwoordelijkheid van de organisatie om deze redenen aan PII-opdrachtgevers over te brengen, samen met een 'duidelijke verklaring' over waarom zij hun informatie moeten verwerken.
Alle documentatie moet duidelijk, alomvattend en gemakkelijk te begrijpen zijn voor elke PII-opdrachtgever die deze leest – inclusief alles wat met toestemming te maken heeft, evenals kopieën van interne procedures (zie ISO 27701-clausules 7.2.3, 7.3.2 en 7.2.8).
Relevante ISO 27701-clausules
- ISO 27701 7.2.3
- ISO 27701 7.3.2
- ISO 27701 7.2.8
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 7.2.2 – Identificeer de wettelijke basis
Doel van artikel 7.2.2
Afhankelijk van het rechtsgebied moeten organisaties dit mogelijk wel doen bewijzen dat hun PII-verwerkingsactiviteiten rechtmatig zijn voordat ze beginnen.
Richtsnoer voor artikel 7.2.2
Om een wettelijke basis te vormen voor de verwerking van PII moeten organisaties:
- Vraag toestemming aan PII-opdrachtgevers.
- Stel een contract op.
- Voldoen aan diverse andere wettelijke verplichtingen.
- Bescherm de 'vitale belangen' van de verschillende PII-opdrachtgevers.
- Zorg ervoor dat de taken die worden uitgevoerd in het algemeen belang zijn.
- Bevestig dat de verwerking van PII een legitiem belang is.
Voor elk hierboven genoemd punt moeten organisaties gedocumenteerde bevestiging kunnen bieden.
Organisaties moeten in hun gegevensclassificatieschema ook rekening houden met 'speciale categorieën' van PII die betrekking hebben op hun organisatie (zie ISO 27701 clausule 7.2.8) (classificaties kunnen van regio tot regio verschillen).
Als organisaties veranderingen ervaren in hun onderliggende redenen voor het verwerken van PII, moet dit onmiddellijk worden weerspiegeld in hun gedocumenteerde rechtsgrondslag.
Relevante ISO 27701-clausules
- ISO 27701 7.2.8
ISO 27701 Clausule 7.2.3 – Bepaal wanneer en hoe toestemming moet worden verkregen
Doel van artikel 7.2.3
Organisaties moeten dat kunnen aantonen de toestemming voor de verwerking rechtmatig is verkregen van PII-opdrachtgevers.
Richtsnoer voor artikel 7.2.3
Organisaties moeten de redenen voor het verkrijgen van toestemming kunnen documenteren, en hoe deze moet worden verkregen.
PII-bepalingen variëren van regio tot regio, dus organisaties moeten voortdurend rekening houden met lokale en/of nationale wet- en regelgeving die mogelijk bepaalt hoe zij toestemming verkrijgen, samen met eventuele speciale voorwaarden die aan bepaalde gegevenstypen zijn verbonden (bijvoorbeeld kinderen).
ISO 27701 Clausule 7.2.4 – Toestemming verkrijgen en vastleggen
Doel van artikel 7.2.4
Zodra ze hebben vastgesteld dat toestemming vereist is, moeten organisaties toestemming verkrijgen volgens hun unieke reeks vereisten.
Richtsnoer voor artikel 7.2.4
Organisaties moeten toestemming verzamelen op een manier die het voor PII-onderwerpen gemakkelijk maakt om informatie op te vragen over de manier waarop deze is verkregen (tijdstempels, wie deze heeft aangevraagd, enz.) (zie ISO 27701-clausule 7.3.3).
Toestemming is afhankelijk van drie onderliggende wettelijke bepalingen: het moet zo zijn vrij verstrekt, met betrekking tot de reden van verwerking en duidelijk in zijn bedoeling.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 7.2.5 – Privacyeffectbeoordeling
Doel van artikel 7.2.5
Met privacy-impactbeoordelingen kunnen organisaties eventuele implicaties voor de informatiebeveiliging inschatten bij het verwerken van een nieuwe set PII, of het wijzigen van de manier waarop bestaande gegevens worden verwerkt.
Richtsnoer voor artikel 7.2.5
De verwerking van PII is een bedrijfsfunctie met veel risico die grondig moet worden beoordeeld om de integriteit, authenticiteit en wettigheid van de gegevens die worden verwerkt te garanderen.
Afhankelijk van het rechtsgebied zullen sommige organisaties zich moeten houden aan een categorische lijst van scenario’s waarin een privacyeffectbeoordeling vereist is, zoals:
- Geautomatiseerde besluitvorming.
- Verwerking op ondernemingsniveau van speciale PII-categorieën.
- Bewaking van grote openbare ruimtes.
Organisaties moeten vaststellen wat een adequate effectbeoordeling inhoudt, inclusief (maar niet beperkt tot):
- Wat voor soort PII wordt opgeslagen.
- Waar het wordt opgeslagen.
- Waarheen het verplaatst kan worden.
ISO 27701 Clausule 7.2.6 – Contracten met PII-verwerkers
Doel van artikel 7.2.6
Organisaties moeten schriftelijke, bindende contracten aangaan met elke externe PII-verwerker waarvan zij gebruik maken.
Richtsnoer voor artikel 7.2.6
Eventuele contracten moeten ervoor zorgen dat de PII-verwerker alle vereiste informatie in ISO 27701 bijlage B implementeert, met bijzondere aandacht voor risicobeoordelingscontroles (ISO 27701 clausule 5.4.1.2) en de algehele reikwijdte van de verwerkingsactiviteiten (zie ISO 27701 clausule 6.12). )
Organisaties moeten het weglaten van de controles in bijlage B kunnen rechtvaardigen in hun relatie met de PII-verwerker (zie ISO 27701 paragraaf 5.4.1.3).
ISO 27701 Clausule 7.2.7 – Gezamenlijke PII-controleur
Doel van artikel 7.2.7
Organisaties moeten de details van elke gezamenlijke PII-verwerkingsregeling schetsen, met een bijbehorende PII-beheerder – dit omvat algemene beschermingsmaatregelen en alle bijbehorende beveiligingsvereisten.
Richtsnoer voor artikel 7.2.7
Rollen en verantwoordelijkheden moeten duidelijk en ondubbelzinnig zijn, en vastgelegd in een juridisch bindend document (ook wel een 'overeenkomst voor het delen van gegevens' genoemd).
Afspraken kunnen onder meer het volgende omvatten:
- Waarom PII wordt gedeeld.
- Gegevenscategorieën.
- Een algemeen overzicht van de PII-verwerking.
- Alle relevante rollen en verantwoordelijkheden.
- Hoe de beveiliging van privacy-informatie moet worden geregeld.
- Welke acties moeten worden ondernomen bij een datalek?
- Hoe PII moet worden bewaard en vernietigd wanneer deze niet langer nodig is.
- Wat gebeurt er als een van beide partijen de overeenkomst schendt?
- Wat de verplichtingen van beide partijen zijn jegens PII-opdrachtgevers.
- Welke mechanismen zijn er om PII-opdrachtgevers te voorzien van toepasselijke details van de gezamenlijke overeenkomst?
- Hoe PII-opdrachtgevers officiële verzoeken kunnen indienen en hoe ze een antwoord kunnen formuleren en afleveren.
- Contactpunten – zowel intern als voor PII-opdrachtgevers om te gebruiken.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 7.2.8 – Documenten met betrekking tot de verwerking van PII
Doel van artikel 7.2.8
Organisaties moeten een grondige set documenten bijhouden die hun acties en verplichtingen als PII-verwerker ondersteunen.
Richtsnoer voor artikel 7.2.8
Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende bevatten:
- Operationeel – het specifieke type PII-verwerking dat wordt uitgevoerd.
- Rechtvaardigingen – waarom de PII wordt verwerkt.
- Categorisch – lijsten met PII-ontvangers, inclusief internationale organisaties.
- Beveiliging – een overzicht van hoe PII wordt beschermd.
- Privacy – dat wil zeggen een rapport over de impact op de privacy.
Ondersteuning van AVG-artikelen
Verschillende elementen van ISO 27701 clausule 7.2 zijn van toepassing binnen de Britse AVG-wetgeving. Bekijk onderstaande tabel voor de bijbehorende referenties.
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | Bijbehorende AVG-artikelen |
|---|---|---|
| 7.2.1 | Doel identificeren en documenteren | Artikelen (5), (32) |
| 7.2.2 | Identificeer de wettelijke basis | Artikelen (5), (6), (8), (9), (10), (17), (18), (22) |
| 7.2.3 | Bepaal wanneer en hoe toestemming moet worden verkregen | Artikel (8) |
| 7.2.4 | Toestemming verkrijgen en vastleggen | Artikelen (7)(9) |
| 7.2.5 | Privacyeffectbeoordeling | Artikelen (35), (36) |
| 7.2.6 | Contracten met PII-verwerkers | Artikelen (5), (28) |
| 7.2.7 | Gezamenlijke PII-controleur | Artikel (26) |
| 7.2.8 | Records met betrekking tot de verwerking van PII | Artikelen (5), (24), (30) |
Hoe ISMS.online helpt
Het implementatieproces van ISO 27701 kan een uitdaging zijn, vooral als u nog nooit eerder een project als dit heeft uitgevoerd. ISMS.online kan u helpen!
Met onze ISO 27701-frameworks kan uw bedrijf aantonen dat de ISO 27701-norm wordt nageleefd.
Onze Information Security specialisten kunnen u helpen bij het creëren van een logisch implementatietraject dat aansluit bij het raamwerk.
Meer informatie via een demo boeken.
