Begrijpen van ISO 27701 Clausule 8.2: Voorwaarden voor rechtmatige gegevensverwerking
Het naleven van ISO 27701 clausule 8.2 zorgt ervoor dat organisaties wettig handelen bij het verzamelen en verwerken van PII, en in overeenstemming zijn met de geldende wetten of regelgevende bepalingen, waar ze ook PII verwerken.
ISO 27701 Clausule 8.2.1 – Klantovereenkomst
Doel van artikel 8.2.1
Er moeten contracten worden opgesteld die betrekking hebben op de verwerking van PII en die tegemoetkomen aan de behoefte van de organisatie om hulp te bieden aan de klant, en aan hun verplichtingen.
Richtsnoer voor artikel 8.2.1
Contracten moeten het volgende omvatten:
- Het concept van 'privacy by design' (zie ISO 27701 clausules 7.4 en 8.4).
- Hoe de organisatie de veiligheid van de verwerking wil bereiken.
- Hoe inbreuken moeten worden gerapporteerd, inclusief klanten, opdrachtgevers en regelgevende instanties.
- Hoe moet worden omgegaan met Privacy Impact Assessments?
- Bevestiging van het voornemen van de organisatie om hulp te bieden aan de PII-beschermingsautoriteiten.
Relevante ISO 27701-clausules
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 Clausule 8.2.2 – Doelstellingen van de organisatie
Doel van artikel 8.2.2
Vanaf het begin mag PII alleen worden verwerkt in overeenstemming met de instructies van de klant.
Richtsnoer voor artikel 8.2.2
Contracten moeten SLA's bevatten die verband houden met wederzijdse doelstellingen en eventuele bijbehorende tijdschalen waarbinnen deze moeten worden voltooid.
Organisaties moeten hun recht erkennen om de verschillende methoden te kiezen die worden gebruikt om PII te verwerken, die rechtmatig bereiken wat de klant zoekt, maar zonder de noodzaak om gedetailleerde toestemming te verkrijgen over hoe de organisatie dit op technisch niveau aanpakt.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 8.2.3 – Marketing- en reclamegebruik
Doel van artikel 8.2.3
Organisaties moeten toestemming verkrijgen van het PII-principe voordat ze gegevens gebruiken die zijn verstrekt voor marketing- of reclamedoeleinden, en ervoor zorgen dat acceptatie van dergelijk gebruik geen voorwaarde is voor de verwerking van PII.
Richtsnoer voor artikel 8.2.3
Marketing- en reclamebepalingen moeten duidelijk worden gedocumenteerd in alle contracten of serviceovereenkomsten, in overeenstemming met het bovengenoemde doel.
Organisaties moeten streven naar 'uitdrukkelijke toestemming' die is gebaseerd op een transparante en actuele weergave van hoe PII moet worden gebruikt.
ISO 27701 Clausule 8.2.4 – Inbreukmakende instructie
Doel van artikel 8.2.4
Organisaties moeten zich uitspreken over elke verwerkingsinstructie van de klant die in strijd is met wet- of regelgeving.
Richtsnoer voor artikel 8.2.4
Organisaties moeten een grondig inzicht hebben in de manier waarop instructies mogelijk in strijd kunnen zijn met toepasselijke wetgeving of wettelijke verplichtingen.
Overtredingen vinden meestal plaats rond drie factoren.
- Hoe technologie wordt gebruikt.
- Het uitgangspunt van de instructie.
- Eventuele contractuele verplichtingen.
ISO 27701 Clausule 8.2.5 – Verplichtingen van de klant
Doel van artikel 8.2.5
Organisaties moeten hun klanten van voldoende informatie kunnen voorzien, zodat klanten op ieder moment aan hun verplichtingen kunnen voldoen.
Richtsnoer voor artikel 8.2.5
De vereiste informatie kan een breed scala aan functies omvatten, maar houdt doorgaans verband met interne audits en de rol van de organisatie bij het faciliteren daarvan door het verstrekken van informatie.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 8.2.6 – Documenten met betrekking tot de verwerking van PII
Doel van artikel 8.2.6
Organisaties moeten nauwkeurige en actuele gegevens bijhouden waarmee ze op elk moment kunnen aantonen dat ze voldoen aan contractuele verplichtingen met betrekking tot de verwerking van PII.
Richtsnoer voor artikel 8.2.6
Afhankelijk van het rechtsgebied moeten de documenten mogelijk het volgende bevatten:
- Categorische lijsten van verwerkingen, per klant.
- Eventuele gegevensoverdrachten naar andere landen of internationale organisaties.
- Technische beveiligingscontroles.
Ondersteuning van AVG-artikelen
Verschillende elementen van ISO 27701 clausule 8.2 zijn van toepassing binnen Groot-Brittannië GDPR wetgeving. Bekijk onderstaande tabel voor de bijbehorende referenties.
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | Bijbehorende AVG-artikelen |
|---|---|---|
| 8.2.1 | Klant overeenkomst | Artikelen (28), (35) |
| 8.2.2 | Doelstellingen van de organisatie | Artikelen (5), (28), (29), (32) |
| 8.2.3 | Marketing- en reclamegebruik | Artikel (7) |
| 8.2.4 | Inbreukmakende instructie | Artikel (28) |
| 8.2.5 | Verplichtingen van de klant | Artikel (28) |
| 8.2.6 | Records met betrekking tot de verwerking van PII | Artikel (30) |
Hoe ISMS.online helpt
Het ISMS.online-platform biedt geïntegreerde assistentie in elke fase en onze 'Adopt, Adapt, Add'-implementatieaanpak voor ISO 27701 om het proces veel eenvoudiger te maken. U profiteert ook van een verscheidenheid aan tijdbesparende functies.
Wij maken data mapping tot een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
U moet laten zien hoe goed u de verzoeken om rechten van betrokkenen (Data Subject Rights Requests, DRR) beheert. Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.
Het is eenvoudig om verschillende soorten privacybeoordelingen op te zetten en uit te voeren, van gegevensbeschermingseffectbeoordelingen tot regelgevings- of nalevingsgereedheidsbeoordelingen.
Meer informatie via een demo boeken.
