Begrijpen van ISO 27701 Clausule 8.5: PII delen, overdragen en openbaar maken
ISO 27701 clausule 8.5 schetst de doelstellingen van een organisatie wanneer PII wordt overgedragen aan of bekendgemaakt aan andere landen, organisaties en onderaannemers.
ISO 27701 Clausule 8.5.1 – PII delen, overdragen en openbaar maken
Doel van artikel 8.5.1
Wanneer PII tussen rechtsgebieden moet worden overgedragen, moeten organisaties de klant tijdig informeren over de onderliggende noodzaak om dit te doen.
Richtsnoer voor artikel 8.5.1
De regels voor de overdracht van PII kunnen van regio tot regio verschillen, afhankelijk van waar de gegevens naartoe en vandaan worden overgedragen.
Transferbestemmingen kunnen zijn:
- Leveranciers.
- Derden.
- Verschillende landen.
- Internationale organisaties.
Organisaties moeten de klant voldoende op de hoogte stellen van eventuele overdrachten, zodat er bezwaar kan worden gemaakt en, in bepaalde omstandigheden, beëindigingsverzoeken kunnen worden ingediend.
Organisaties hoeven klanten niet altijd te informeren over wijzigingen in hun regelingen voor gegevensoverdracht, maar contracten moeten duidelijk aangeven onder welke omstandigheden zij wel vooraf moeten waarschuwen.
Bij het overdragen van PII naar een ander land moeten organisaties rekening houden met officiële mechanismen, zoals:
- Modelcontractclausules.
- Bindende bedrijfsregels.
- Grensoverschrijdende privacyregels.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 8.5.2 – Landen en internationale organisaties waarnaar PII kan worden overgedragen
Doel van artikel 8.5.2
Organisaties moeten een nauwkeurige, actuele lijst bijhouden van alle landen of organisaties waar PII mogelijk naartoe kan worden overgedragen.
Richtsnoer voor artikel 8.5.2
Klanten moeten op elk moment een lijst met potentiële ontvangende landen en organisaties kunnen bekijken, inclusief een logboek van alle landen die betrokken zijn bij de uitbesteding van PII (zie ISO 27701 clausule 8.5.1).
Onder bepaalde omstandigheden zullen organisaties niet altijd vooraf bekend kunnen maken waar overdrachtsverzoeken vandaan komen, vooral als het gaat om strafzaken. Dit is onvermijdelijk en het zou de prioriteit van de organisatie moeten zijn om de integriteit van een wetshandhavingsoperatie te handhaven (zie ISO 27701 clausules 7.5.1, 8.5.4 en 8.5.5).
Relevante ISO 27701-clausules
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
ISO 27701 Clausule 8.5.3 – Registratie van openbaarmaking van PII aan derden
Doel van artikel 8.5.3
Organisaties moeten alle gevallen waarin zij PII moeten vrijgeven aan een derde partij nauwgezet registreren.
Richtsnoer voor artikel 8.5.3
Telkens wanneer PII wordt bekendgemaakt – hetzij als onderdeel van standaard bedrijfsroutines of in bijzondere omstandigheden, zoals een doorlopend juridisch of regelgevend proces – moeten organisaties vastleggen wat er is bekendgemaakt, de ontvanger en de onderliggende reden daarvoor.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 8.5.4 – Kennisgeving van verzoeken om openbaarmaking van PII
Doel van artikel 8.5.4
Telkens wanneer een juridisch bindend verzoek aan de organisatie wordt gedaan om PII openbaar te maken, moet de organisatie, indien toegestaan, de PII-directeur op de hoogte stellen van het verzoek.
Richtsnoer voor artikel 8.5.4
Organisaties moeten een procedure opstellen die regelt hoe PII-opdrachtgevers op de hoogte worden gesteld van juridisch bindende verzoeken van derden om hun informatie, inclusief een redelijk tijdsbestek en een contractuele bepaling die het hele proces schetst.
Bovenal moeten organisaties dat doen voldoen aan de verzoeken van wetshandhavingsinstanties, die het recht hebben om te verzoeken dat de klant niet op de hoogte wordt gesteld van een verzoek, en ervoor te zorgen dat ze geen wetten overtreden door de klant per ongeluk of opzettelijk op de hoogte te stellen van de situatie.
ISO 27701 Clausule 8.5.5 – Juridisch bindende openbaarmaking van PII
Doel van artikel 8.5.5
Organisaties moeten onmiddellijk bezwaar maken tegen elk verzoek tot openbaarmaking van PII dat in strijd is met de geldende wetten op gegevensbeveiliging, of op enigerlei wijze niet juridisch bindend is.
PII-opdrachtgevers moeten worden geraadpleegd voordat de organisatie enige PII-gerelateerde informatie openbaar maakt, en organisaties moeten zich houden aan contractuele voorwaarden die beschrijven welke openbaarmakingen zijn toegestaan, vanuit het perspectief van de klant.
Richtsnoer voor artikel 8.5.5
Contracten moeten specifiek zijn in wat zij als een wettig verzoek beschouwen, naast de verzoeken die door de klant zijn geautoriseerd, inclusief verzoeken die afkomstig zijn van:
- Rechtbanken.
- Arbeidsrechtbanken.
- Arbeidsgeschillen.
- Regelgevende/administratieve autoriteiten.
ISO 27701 Clausule 8.5.6 – Juridisch bindende openbaarmaking van PII
Doel van artikel 8.5.6
Voordat de organisatie in zee gaat met onderaannemers die PII moeten verwerken, moet zij eerst de details van de relatie bekendmaken, voordat zij de onderaannemer toestemming geeft zijn taken uit te voeren.
Richtsnoer voor artikel 8.5.6
Alle bepalingen voor het gebruik van onderaannemers moeten als zodanig worden vermeld in het SLA/klantcontract.
Informatie over onderaannemers moet het volgende omvatten:
- De naam van de onderaannemer.
- Alle landen waarnaar de onderaannemer gegevens kan overdragen (zie ISO 27701 clausule 8.5.2), zodat de klant eventuele PII-opdrachtgevers kan informeren.
- Hoe wordt verwacht dat de onderaannemer aan de behoeften van de organisatie voldoet (zie ISO 27701 clausule 8.5.7).
NDA's moeten worden opgesteld om alle informatie openbaar te maken die een verhoogd veiligheidsrisico zou vormen als deze publiekelijk zou worden onthuld.
Relevante ISO 27701-clausules
- ISO 27701 8.5.2
- ISO 27701 8.5.7
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 8.5.7 – Inschakeling van een onderaannemer om PII te verwerken
Doel van artikel 8.5.7
De enige keer dat het acceptabel is om PII-verwerkingsactiviteiten uit te besteden, is naast de bepalingen in een contractuele overeenkomst.
Richtsnoer voor artikel 8.5.7
Organisaties moeten schriftelijke toestemming van hun klanten verkrijgen voordat PII door een externe organisatie wordt verwerkt.
Onderaannemers moeten onderworpen zijn aan een bindende overeenkomst (meestal in de vorm van een schriftelijk contract), die ervoor zorgt dat onderaannemers hun verplichtingen begrijpen met betrekking tot het implementeren van de controles vermeld in ISO 27701 bijlage B.
Contracten moeten rekening houden met verschillende risicobeoordelingsprocessen (zie ISO 27701 clausule 5.4.1.2) en de volledige reikwijdte van de PII-verwerking van de organisatie (zie ISO 27701 clausule 6.12). Net als hierboven moeten alle in bijlage B genoemde controles worden nageleefd, waarbij eventuele weglatingen worden vermeld, samen met de rechtvaardigingen daarvoor.
Relevante ISO 27701-clausules
- ISO 27701 5.4.1.2
- ISO 27701 6.12
ISO 27701 Clausule 8.5.8 – Wijziging van onderaannemer naar proces-PII
Doel van artikel 8.5.8
Wanneer de noodzaak zich voordoet om de manier te veranderen waarop de organisatie enig onderdeel van de PII-verwerking uitbesteedt, moeten klanten ruim van tevoren op de hoogte worden gesteld van de wijzigingen, zodat ze de tijd hebben om de wijzigingen in twijfel te trekken of er bezwaar tegen te maken.
Richtsnoer voor artikel 8.5.8
Contracten moeten clausules bevatten die voorzien in schriftelijke toestemming van de klant om door te gaan met de wijziging, voordat PII wordt verwerkt.
Organisaties kunnen ook goedkeuring vragen voor wijzigingen binnen ad-hoc schriftelijke overeenkomsten, buiten eventuele contractuele voorwaarden om.
Ondersteuning van AVG-artikelen
Verschillende elementen van ISO 27701 clausule 8.5 zijn van toepassing binnen Groot-Brittannië GDPR wetgeving. Bekijk onderstaande tabel voor de bijbehorende referenties.
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | Bijbehorende AVG-artikelen |
|---|---|---|
| 8.5.1 | Basis voor PII-overdracht tussen rechtsgebieden | Artikelen (44), (46), (48), (49) |
| 8.5.2 | Landen en internationale organisaties waarnaar PII kan worden overgedragen | Artikel (30) |
| 8.5.3 | Registraties van openbaarmaking van PII aan derden | Artikel (30) |
| 8.5.4 | Kennisgeving van verzoeken om openbaarmaking van PII | Artikel (28) |
| 8.5.5 | Juridisch bindende openbaarmaking van PII | Artikel (48) |
| 8.5.6 | Openbaarmaking van onderaannemers die worden gebruikt om PII te verwerken | Artikel (28) |
| 8.5.7 | Inschakeling van een onderaannemer om PII te verwerken | Artikel (28) |
| 8.5.8 | Wijziging van onderaannemer om PII te verwerken | Artikel (28) |
Hoe ISMS.online helpt
Bij ISMS.online maken we het documenteren van uw privacy-informatiemanagementsysteem eenvoudiger voor uw organisatie. Wij bieden u een logische, bruikbare, cloudgebaseerde informatiebeheerinterface waarmee uw organisatie haar privacyprocessen en voortgang kan controleren aan de hand van de ISO 27701 / PIMS-standaard.
Met ons cloudgebaseerde platform heeft u op één plek toegang tot al uw PIMS-bronnen.
U kunt ons eenvoudig te gebruiken platform gebruiken om alles te documenteren wat u nodig heeft om aan te tonen dat u aan de eisen van ISO 27701 voldoet. Onze Assured Results Method (ARM) ontrafelt de eisen van ISO 27701 en geeft u vertrouwen naarmate u vordert in de richting van het bereiken van certificering.
We hebben een in-house team van informatiebeveiligingsexperts die u kunnen begeleiden en vragen kunnen beantwoorden om u op weg te helpen naar ISO 27701-certificering.
Meer informatie via een demo boeken.
