ISO 27701 Clausule 7.4.1 – Limietverzameling
Doel van artikel 7.4.1
Organisaties moeten het verzamelen van PII beperken op basis van drie factoren:
- Relevantie.
- Evenredigheid.
- Noodzaak.
Richtsnoer voor artikel 7.4.1
Organisaties mogen PII alleen verzamelen – direct of indirect – in overeenstemming met de bovenstaande factoren, en alleen voor doeleinden die relevant en noodzakelijk zijn voor het aangegeven doel.
Als concept moet 'privacy by default' worden nageleefd, dat wil zeggen dat alle optionele functies standaard moeten worden uitgeschakeld.
ISO 27701 Clausule 7.4.2 – Beperkte verwerking
Doel van artikel 7.4.2
In lijn met ISO 27701 7.4.1 mogen organisaties ook alleen PII verwerken als dit relevant, proportioneel en noodzakelijk is om een bepaald doel te bereiken.
Richtsnoer voor artikel 7.4.2
PII-verwerking omvat:
- Disclosure.
- Storage.
- Toegankelijkheid.
Alle bovengenoemde functies moeten worden uitgevoerd op de minimumniveaus die nodig zijn om een doelstelling te verwezenlijken.
Organisaties moeten de verwerking van PII beperken in samenhang met gepubliceerde informatiebeveiligingsprocessen, -beleid en -procedures (zie ISO 27701 paragraaf 6.2).
Relevante ISO 27701-clausules
- ISO 27701 6.2
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 7.4.3 – Nauwkeurigheid en kwaliteit
Doel van artikel 7.4.3
Organisaties moeten stappen ondernemen om ervoor te zorgen dat PII wordt bewaard accuraat, compleet en up-to-date, gedurende de gehele levenscyclus.
Richtsnoer voor artikel 7.4.3
Het informatiebeveiligingsbeleid en de technische configuraties van de organisatie moeten stappen bevatten die tot doel hebben fouten tijdens de PII-verwerking tot een minimum te beperken, inclusief controles over hoe te reageren op onnauwkeurigheden.
ISO 27701 Clausule 7.4.4 – PII-minimalisatiedoelstellingen
Doel van artikel 7.4.4
Organisaties moeten procedures voor ‘dataminimalisatie’ ontwikkelen, inclusief mechanismen zoals de-identificatie.
Richtsnoer voor artikel 7.4.4
Er moet gebruik worden gemaakt van gegevensminimalisatie om ervoor te zorgen dat het verzamelen en verwerken van PII beperkt blijft tot het 'geïdentificeerde doel' van elke functie (zie ISO 27701, clausule 7.2.1).
Een groot deel van dit proces omvat het documenteren van de mate waarin de informatie van een PII-opdrachtgever rechtstreeks aan hem moet worden toegeschreven, en hoe minimalisering moet worden bereikt via een verscheidenheid aan beschikbare methoden.
Organisaties moeten de specifieke technieken schetsen die worden gebruikt om PII-opdrachtgevers te de-identificeren, zoals:
- Randomisatie.
- Lawaai toevoeging.
- Generalisatie.
- Verwijdering van kenmerken.
Relevante ISO 27701-clausules
- ISO 27701 7.2.1
ISO 27701 Clausule 7.4.5 – PII-anonimisering en verwijdering aan het einde van de verwerking
Doel van artikel 7.4.5
Organisaties moeten ofwel alle PII die niet langer een doel vervult volledig vernietigen, ofwel deze zodanig aanpassen dat elke vorm van hoofdidentificatie wordt voorkomen.
Richtsnoer voor artikel 7.4.5
Zodra de organisatie heeft vastgesteld dat de PII in de toekomst op geen enkel moment hoeft te worden verwerkt, moet de informatie worden verwijderde or de-geïdentificeerde, al naar gelang de omstandigheden dit vereisen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 7.4.6 – Tijdelijke bestanden
Doel van artikel 7.4.6
Tijdelijke bestanden worden om een aantal technische redenen aangemaakt, gedurende de hele levenscyclus van de verwerking en verzameling van PII, in talloze applicaties, systemen en beveiligingsplatforms.
Organisaties moeten ervoor zorgen dat deze bestanden binnen een redelijke termijn worden vernietigd, in overeenstemming met een officieel bewaarbeleid.
Richtsnoer voor artikel 7.4.6
Een eenvoudige manier om het bestaan van dergelijke bestanden te identificeren, is door periodieke controles van tijdelijke bestanden in het netwerk uit te voeren. Tijdelijke bestanden bevatten vaak:
- Database-updatebestanden.
- Gecachte informatie.
- Bestanden gemaakt door applicaties en op maat gemaakte softwarepakketten.
Organisaties moeten zich houden aan een zogenaamde procedure voor het ophalen van afval waarmee tijdelijke bestanden worden verwijderd wanneer ze niet langer nodig zijn.
ISO 27701 Clausule 7.4.7 – Bewaring
Doel van artikel 7.4.7
Het is van cruciaal belang dat organisaties hun verplichtingen erkennen om PII te verwijderen en/of te verwijderen die niet langer nodig is om een bepaald doel te bereiken.
Richtsnoer voor artikel 7.4.7
Organisaties moeten categorische bewaarschema's opstellen en naleven, waarin de exacte periode wordt beschreven gedurende welke PII-opdrachtgevers kunnen verwachten dat hun gegevens worden bewaard.
Bewaarschema's moeten worden afgestemd op alle wettelijke, statutaire of contractuele vereisten die bepalen hoe lang PII op een bepaald platform moet worden bewaard.
ISO 27701 Clausule 7.4.8 – Verwijdering
Doel van artikel 7.4.8
Organisaties moeten duidelijke beleidslijnen en procedures hebben die bepalen hoe PII wordt verwijderd.
Richtsnoer voor artikel 7.4.8
Het verwijderen van gegevens is een veelomvattend onderwerp dat een groot aantal verschillende variabelen omvat, gebaseerd op de vereiste verwijderingstechniek en de aard van de gegevens die worden verwijderd.
Organisaties moeten rekening houden met:
- Wat de PII omvat.
- Eventuele resterende metadata die naast de hoofdgegevens moeten worden gewist.
- Het type opslagmedium waarop de PII wordt bewaard.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 7.4.9 – PII-transmissiecontroles
Doel van artikel 7.4.9
Elke PII die wordt overgedragen aan een externe organisatie moet met de grootst mogelijke zorg gebeuren voor de verzonden informatie en met behulp van veilige middelen.
Richtsnoer voor artikel 7.4.9
Organisaties moeten ervoor zorgen dat alleen geautoriseerd personeel toegang heeft tot transmissiesystemen, en doen dit op een manier die gemakkelijk kan worden gecontroleerd, met als enig doel de informatie zonder incidenten daar te krijgen waar deze naartoe moet.
Ondersteuning van AVG-artikelen
Verschillende elementen van ISO 27701 clausule 7.4 zijn van toepassing binnen Groot-Brittannië GDPR wetgeving. Bekijk onderstaande tabel voor de bijbehorende referenties.
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | Bijbehorende AVG-artikelen |
|---|---|---|
| 7.4.1 | Beperk de verzameling | Artikel (5) |
| 7.4.2 | Beperk de verwerking | Artikel (25) |
| 7.4.3 | Nauwkeurigheid en kwaliteit | Artikel (5) |
| 7.4.4 | PII-minimalisatiedoelstellingen | Artikel (5) |
| 7.4.5 | De-identificatie en verwijdering van PII aan het einde van de verwerking | Artikelen (5), (6), (11), (32) |
| 7.4.6 | Tijdelijke bestanden | Artikel (5) |
| 7.4.7 | Retentie | Artikelen (13), (14) |
| 7.4.8 | Beschikking | Artikel (5) |
| 7.4.9 | PII-transmissiecontroles | Artikel (5) |
Hoe ISMS.online helpt
Het ISMS.online-platform biedt geïntegreerde assistentie in elke fase en onze 'Adopt, Adapt, Add'-implementatieaanpak voor ISO 27701 om het proces veel eenvoudiger te maken.
U profiteert ook van een verscheidenheid aan tijdbesparende functies.
Als u om welke reden dan ook een gebrek aan vertrouwen, vermogen of de drang ervaart om actie te ondernemen tijdens uw reis naar ISO 27701, kunnen wij ons team van interne experts ter beschikking stellen.
Meer informatie via een demo boeken.
