ISO 27701 Clausule 7.3.1 – Vaststellen en nakomen van verplichtingen jegens PII-opdrachtgevers
Doel van artikel 7.3.1
Organisaties moeten eerst hun beleid vaststellen en vervolgens volledig documenteren wettelijk, regelgevers en bedrijfsdeskundigen verplichtingen jegens PII-opdrachtgevers.
Richtsnoer voor artikel 7.3.1
Organisaties moeten bieden wat ISO beschouwt als het 'gepaste middel' om aan de behoeften van PII-opdrachtgevers te voldoen, inclusief transparante documentatie en een aangewezen contactpunt.
Let op. Contactmethoden moeten identiek zijn aan de manieren waarop de organisatie PII verzamelt.
ISO 27701 Clausule 7.3.2 – Bepalen van informatie voor PII-opdrachtgevers
Doel van artikel 7.3.2
Organisaties moeten de informatie die PII-opdrachtgevers ontvangen met betrekking tot de verwerking van PII in kaart brengen en documenteren.
Richtsnoer voor artikel 7.3.2
Organisaties moeten een categorische reeks vereisten schetsen die bepalen wanneer informatie moet worden verstrekt aan PII-opdrachtgevers, en wat die informatie is, bijvoorbeeld:
- Het doel van het verzamelen en verwerken van de PII.
- Contactgegevens van het bedrijf.
- Hoe en waar de PII is verkregen.
- Contractuele en/of wettelijke vereisten.
- Hoe toestemming kan worden ingetrokken.
- PII-overdrachten.
- Hoe u een officiële klacht indient.
- Hoe beslissingen worden genomen met betrekking tot de verwerking van PII.
- Bewaartermijnen voor PII.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 7.3.3 – Informatie verstrekken aan PII-opdrachtgevers
Doel van artikel 7.3.3
Organisaties moeten 'duidelijke en toegankelijke' informatie verstrekken waaruit blijkt wie de PII-beheerder is en hoe deze wordt verwerkt.
Richtsnoer voor artikel 7.3.3
Alle informatie moet foutloos worden verstrekt en in een taal die gemakkelijk te begrijpen is (bijvoorbeeld zonder jargon, niet al te technisch) door de mensen die de mogelijkheid hebben om de informatie te lezen (zie ISO 27702 paragraaf 7.3.2).
Relevante ISO 27701-clausules
- ISO 27701 7.3.2
ISO 27701 Clausule 7.3.4 – Bieden van een mechanisme om toestemming te wijzigen of in te trekken
Doel van artikel 7.3.4
PII-subjecten moeten de mogelijkheid krijgen om hun toestemming voor het verzamelen of verwerken van PII in te trekken.
Richtsnoer voor artikel 7.3.4
Op basisniveau moeten organisaties een mechanisme bieden dat de rechten schetst van elke PII-opdrachtgever die zijn toestemming wil intrekken, samen met instructies over hoe dit te doen die in lijn zijn met de methoden die worden gebruikt om PII te verzamelen (bijvoorbeeld e-mail, telefoon). .
PII-opdrachtgevers moeten ook de toestemming kunnen 'wijzigen', dat wil zeggen de verwerkingsverantwoordelijke beperken in het uitvoeren van bepaalde acties, zoals het verwijderen van PII. Dergelijke verzoeken moeten worden gedocumenteerd in overeenstemming met de procedures voor het intrekken van toestemming.
Organisaties moeten zich verbinden tot een gepubliceerde responstijd voor alle wijzigingen of intrekkingen van toestemmingsverzoeken.
ISO 27701 Clausule 7.3.5 – Bieden van een mechanisme om toestemming te wijzigen of in te trekken
Doel van artikel 7.3.5
PII-opdrachtgevers moeten de mogelijkheid krijgen om bezwaar te maken tegen de verwerking van hun PII.
Richtsnoer voor artikel 7.3.5
Wetten variëren van regio tot regio, maar sommige rechtsgebieden geven PII-opdrachtgevers het recht om bezwaar te maken tegen de verwerking van hun PII.
Organisaties moeten deze functie op twee manieren benaderen:
- Door alle wettelijke of regelgevende vereisten te documenteren die verband houden met de specifieke bezwaren van PII-opdrachtgevers.
- Aangevers informatie geven over hoe zij bezwaar kunnen maken.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 7.3.6 – Toegang, correctie en/of verwijdering
Doel van artikel 7.3.6
Organisaties moeten procedures opstellen, documenteren en implementeren waarmee PII-opdrachtgevers dit kunnen doen toegang, te corrigeren en / of verwijderen hun PII.
Richtsnoer voor artikel 7.3.6
Procedures moeten mechanismen omvatten waarmee de PII-opdrachtgever de bovenstaande actie kan uitvoeren, inclusief de manier waarop de organisatie de opdrachtgever moet informeren als er geen correcties kunnen worden aangebracht.
Organisaties moeten zich verplichten tot een gepubliceerde reactietijd voor alle verzoeken om toegang, correctie of verwijdering.
Het is van cruciaal belang om dergelijke verzoeken door te geven aan derden aan wie PII is overgedragen (zie ISO 27701 clausule 7.3.7).
De mogelijkheid van een PII-opdrachtgever om correcties of verwijderingen aan te vragen, wordt bepaald door het rechtsgebied waarin de organisatie actief is. Als zodanig moeten bedrijven zichzelf op de hoogte houden van eventuele wijzigingen in de wet- of regelgeving die van toepassing zijn op hun verplichtingen ten aanzien van PII.
Relevante ISO 27701-clausules
- ISO 27701 7.3.7
ISO 27701 Clausule 7.3.7 – Verplichtingen van PII-controleurs om derden te informeren
Doel van artikel 7.3.7
Van tijd tot tijd kan de behoefte ontstaan om PII te delen met derden (via de juiste kanalen).
Organisaties moeten dergelijke bedrijven op de hoogte stellen van verzoeken tot wijziging, intrekking van toestemming of bezwaren met betrekking tot PII die wordt gedeeld.
Richtsnoer voor artikel 7.3.7
Organisaties moeten de juiste technische kanalen gebruiken om ervoor te zorgen dat derden snel en accuraat worden geïnformeerd, in overeenstemming met eventuele regionale wettelijke of regelgevende vereisten.
Waar mogelijk moeten organisaties deze functie delegeren aan een specifiek persoon en stappen ondernemen om ervoor te zorgen dat dergelijke verzoeken worden erkend.
ISO 27701 Clausule 7.3.8 – Verstrekken van kopie van verwerkte PII
Doel van artikel 7.3.8
Het is van cruciaal belang dat organisaties op verzoek een kopie kunnen verstrekken van alle PII die is verwerkt.
Richtsnoer voor artikel 7.3.8
ISO vereist dat organisaties een kopie van de PII verstrekken in een gebruiksvriendelijk formaat dat gemakkelijk toegankelijk is voor de PII-opdrachtgever.
Organisaties moeten er goed op letten dat de verstrekte informatie betrekking heeft uitsluitend aan de PII-opdrachtgever die erom heeft verzocht.
De wetten voor de identificatie van PII variëren van regio tot regio, maar als de PII een de-identificatieproces heeft ondergaan, mogen de organisaties niet proberen opnieuw te identificeren, tenzij dit wettelijk verplicht is.
Organisaties moeten ook methoden onderzoeken om de PII over te dragen direct naar een andere organisatie, indien daarom wordt verzocht.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 7.3.9 – Behandeling van verzoeken
Doel van artikel 7.3.9
Organisaties moeten zich houden aan een concrete reeks procedures die bepalen hoe zij moeten reageren op verzoeken van PII-opdrachtgevers.
Richtsnoer voor artikel 7.3.9
Verzoeken kunnen variëren van (maar zijn niet beperkt tot) een kopie van de PII of het indienen van een klacht, en moeten worden verwerkt binnen een gepubliceerde reactietijd, waarbij rekening wordt gehouden met de aard van het verzoek.
Afhankelijk van het rechtsgebied kunnen organisaties ook administratiekosten in rekening brengen, maar deze blijven meestal beperkt tot buitensporige of repetitieve verzoeken.
ISO 27701 Clausule 7.3.10 – Geautomatiseerde besluitvorming
Doel van artikel 7.3.10
Organisaties moeten voldoen aan alle wettelijke verplichtingen jegens PII-opdrachtgevers die verband houden met de geautomatiseerde verwerking van PII.
Richtsnoer voor artikel 7.3.10
Organisaties moeten rekening houden met jurisdictieverschillen in geautomatiseerde besluitvorming met betrekking tot PII – meer specifiek, door PII-opdrachtgevers de mogelijkheid te bieden bezwaar te maken en menselijke tussenkomst te verzoeken in plaats van geautomatiseerde procedures.
Ondersteuning van AVG-artikelen
Verschillende elementen van ISO 27701 clausule 7.3 zijn van toepassing binnen Groot-Brittannië GDPR wetgeving. Bekijk onderstaande tabel voor de bijbehorende referenties.
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | Bijbehorende AVG-artikelen |
|---|---|---|
| 7.3.1 | Vaststellen en nakomen van verplichtingen jegens PII-opdrachtgevers | Artikel (12) |
| 7.3.2 | Informatie vaststellen voor PII-opdrachtgevers | Artikelen (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Informatie verstrekken aan PII-opdrachtgevers | Artikelen (11), (12), (13), (21) |
| 7.3.4 | Bieden van een mechanisme om toestemming te wijzigen of in te trekken | Artikelen (7), (13), (14), (18) |
| 7.3.5 | Biedt een mechanisme om bezwaar te maken tegen de verwerking van PII | Artikelen (13), (14), (21) |
| 7.3.6 | Toegang, correctie en/of verwijdering | Artikelen (5), (13), (14), (16), (17) |
| 7.3.7 | Verplichtingen van PII-beheerders om derden te informeren | Artikel (19) |
| 7.3.8 | Verstrekken van een kopie van de verwerkte PII | Artikelen (15), (20) |
| 7.3.9 | Verzoeken afhandelen | Artikelen (12), (15) |
| 7.3.10 | Geautomatiseerde besluitvorming | Artikelen (13), (14), (22) |
Hoe ISMS.online helpt
Het ISMS.online-platform biedt geïntegreerde assistentie in elke fase en onze 'Adopt, Adapt, Add'-implementatieaanpak voor ISO 27701 om het proces veel eenvoudiger te maken.
U profiteert ook van een verscheidenheid aan tijdbesparende functies.
Als u om welke reden dan ook een gebrek aan vertrouwen, vermogen of de drang ervaart om actie te ondernemen tijdens uw reis naar ISO 27701, kunnen we ons team van interne experts beschikbaar stellen of een van onze vertrouwde partners aanbevelen om uw inspanningen een boost te geven.
Meer informatie via een demo boeken.
