Forståelse af ISO 27701 paragraf 8.5: PII-deling, overførsel og offentliggørelse
ISO 27701 paragraf 8.5 skitserer en organisations mål, når PII er indstillet til at blive overført til eller videregivet til andre lande, organisationer og underleverandører.
ISO 27701 klausul 8.5.1 – PII-deling, overførsel og offentliggørelse
Formål med paragraf 8.5.1
Når PII skal overføres mellem jurisdiktioner, skal organisationer informere kunden om det underliggende behov for at gøre det rettidigt.
Vejledning til punkt 8.5.1
PII-overførselsregler kan variere fra region til region, afhængigt af hvor dataene overføres til og fra.
Overførselsdestinationer kan omfatte:
- Leverandører.
- Tredje partier.
- Forskellige lande.
- Internationale organisationer.
Organisationer bør give kunden passende meddelelse om eventuelle overførsler, så der kan rejses indsigelser, og under visse omstændigheder kan anmodninger om opsigelse fremsættes.
Organisationer behøver ikke altid at informere kunderne om ændringer i deres dataoverførselsordninger, men kontrakter bør klart skitsere de omstændigheder, hvorunder de har behov for at give forhåndsadvarsel.
Når de overfører PII til et andet land, bør organisationer overveje officielle mekanismer, såsom:
- Modelkontraktklausuler.
- Bindende virksomhedsregler.
- Grænseoverskridende privatlivsregler.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 paragraf 8.5.2 – Lande og internationale organisationer, hvortil PII kan overføres
Formål med paragraf 8.5.2
Organisationer bør føre en nøjagtig, ajourført liste over alle lande eller organisationer, hvor PII har potentiale til at blive overført til.
Vejledning til punkt 8.5.2
Kunder bør være i stand til at se en liste over potentielle modtagerlande og -organisationer på ethvert givet tidspunkt, herunder en log over alle lande, der er involveret i PII-underleverandører (se ISO 27701 paragraf 8.5.1).
Under visse omstændigheder vil organisationer ikke altid være i stand til på forhånd at oplyse, hvor anmodninger om overførsel stammer fra – især i tilfælde af straffesager. Dette er uundgåeligt, og det bør være organisationens prioritet at opretholde integriteten af en retshåndhævende operation (se ISO 27701 paragraf 7.5.1, 8.5.4 og 8.5.5).
Relevante ISO 27701-klausuler
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
ISO 27701 klausul 8.5.3 – Optegnelser over offentliggørelse af PII til tredjeparter
Formål med paragraf 8.5.3
Organisationer bør omhyggeligt registrere alle tilfælde, hvor de har behov for at videregive PII til en tredjepart.
Vejledning til punkt 8.5.3
Når som helst PII afsløres – enten som en del af standard forretningsrutiner eller under særlige omstændigheder, såsom en igangværende juridisk eller regulatorisk proces – bør organisationer registrere, hvad der er blevet afsløret, modtageren og den underliggende årsag til at gøre det.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 8.5.4 – meddelelse om anmodninger om offentliggørelse af PII
Formål med paragraf 8.5.4
Når der fremsættes en juridisk bindende anmodning til organisationen om at afsløre PII, hvor det er tilladt, skal organisationen informere PII-principperen om anmodningen.
Vejledning til punkt 8.5.4
Organisationer bør udarbejde en procedure, der styrer, hvordan PII-princippere underrettes om juridisk bindende tredjepartsanmodninger om deres oplysninger, herunder en rimelig tidsramme og en kontraktbestemmelse, der skitserer hele processen.
Frem for alt har organisationer brug for det efterkomme anmodninger fra retshåndhævende myndigheder, som har ret til at anmode om, at kunden ikke får besked om nogen anmodning, og sikre, at de ikke bryder nogen love ved et uheld eller forsætligt at informere kunden om situationen.
ISO 27701 klausul 8.5.5 – Juridisk bindende PII-oplysninger
Formål med paragraf 8.5.5
Organisationer bør øjeblikkeligt gøre indsigelse mod enhver anmodning om offentliggørelse af PII, der er i strid med gældende datasikkerhedslove eller på nogen måde ikke er juridisk bindende.
PII-princippere bør konsulteres, før organisationen afslører nogen PII-relateret information, og organisationer bør overholde kontraktlige vilkår, der skitserer, hvilke videregivelser der er tilladt fra kundens perspektiv.
Vejledning til punkt 8.5.5
Kontrakter skal være specifikke med hensyn til, hvad de betragter som en lovlig anmodning, ud over enhver, der er godkendt af kunden, herunder dem, der stammer fra:
- Domstole.
- Ansættelsesnævn.
- Arbejdskonflikter.
- Regulerende/administrative myndigheder.
ISO 27701 klausul 8.5.6 – Juridisk bindende PII-oplysninger
Formål med paragraf 8.5.6
Før organisationen engagerer sig med underleverandører, der er forpligtet til at behandle PII, bør organisationen først afsløre detaljerne om forholdet, før underleverandøren tillades at udføre deres opgaver.
Vejledning til punkt 8.5.6
Alle bestemmelser for brug af underleverandører bør være opført som sådan i SLA/kundekontrakten.
Oplysninger om underleverandører bør omfatte:
- Underleverandørens navn.
- Alle lande, som underleverandøren er i stand til at overføre data til (se ISO 27701 paragraf 8.5.2), således at kunden er i stand til at informere eventuelle PII-princippere.
- Hvordan underleverandøren forventes at opfylde organisationens behov (se ISO 27701 paragraf 8.5.7).
NDA'er bør udarbejdes for at afsløre enhver information, der ville udgøre en øget sikkerhedsrisiko, hvis den afsløres offentligt.
Relevante ISO 27701-klausuler
- ISO 27701 8.5.2
- ISO 27701 8.5.7
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 8.5.7 – Engagement af en underleverandør til at behandle PII
Formål med paragraf 8.5.7
Det eneste tidspunkt, hvor det er acceptabelt at underlevere PII-behandlingsaktiviteter, er sammen med bestemmelserne i en kontraktlig aftale.
Vejledning til punkt 8.5.7
Organisationer skal indhente skriftlig godkendelse fra deres kunder, før PII behandles af en tredjepartsorganisation.
Underleverandører bør være underlagt en bindende aftale (normalt i form af en skriftlig kontrakt), som sikrer, at underleverandører forstår deres forpligtelser med hensyn til at implementere kontrollerne anført i ISO 27701 bilag B.
Kontrakter bør tage højde for forskellige risikovurderingsprocesser (se ISO 27701 paragraf 5.4.1.2) og hele omfanget af organisationens PII-behandling (se ISO 27701 paragraf 6.12). Som ovenfor skal alle kontroller, der er anført i bilag B, overholdes, med eventuelle udeladelser anført sammen med begrundelserne for at gøre det.
Relevante ISO 27701-klausuler
- ISO 27701 5.4.1.2
- ISO 27701 6.12
ISO 27701 punkt 8.5.8 – Ændring af underleverandør til proces PII
Formål med paragraf 8.5.8
Når der opstår behov for at ændre den måde, som organisationen outsourcer ethvert element i sin PII-behandling på, skal kunderne informeres om ændringerne i god tid for at give dem tid til at stille spørgsmålstegn ved eller gøre indsigelse mod disse ændringer.
Vejledning til punkt 8.5.8
Kontrakter bør indeholde klausuler, der sørger for skriftlig tilladelse fra kunden til at gå videre med ændringen, før nogen PII behandles.
Organisationer kan også søge godkendelse af ændringer inden for ad-hoc skriftlige aftaler, uden for eventuelle kontraktmæssige vilkår.
Understøttende GDPR-artikler
Forskellige elementer i ISO 27701 paragraf 8.5 er gældende i Storbritannien GDPR lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | Tilknyttede GDPR-artikler |
|---|---|---|
| 8.5.1 | Grundlag for PII-overførsel mellem jurisdiktioner | Artikler (44), (46)(48) (49) |
| 8.5.2 | Lande og internationale organisationer, hvortil PII kan overføres | Artikel (30) |
| 8.5.3 | Registreringer af PII-afsløring til tredjeparter | Artikel (30) |
| 8.5.4 | Meddelelse om anmodninger om offentliggørelse af PII | Artikel (28) |
| 8.5.5 | Juridisk bindende PII-oplysninger | Artikel (48) |
| 8.5.6 | Offentliggørelse af underleverandører brugt til at behandle PII | Artikel (28) |
| 8.5.7 | Engagement af en underleverandør til at behandle PII | Artikel (28) |
| 8.5.8 | Skift af underleverandør til Proces PII | Artikel (28) |
Hvordan ISMS.online hjælper
Hos ISMS.online gør vi det nemmere for din organisation at dokumentere dit styringssystem for databeskyttelse. Vi giver dig en logisk, brugbar, cloud-baseret informationsstyringsgrænseflade, der vil hjælpe din organisation med at kontrollere dens privatlivsprocesser og fremskridt i forhold til ISO 27701 / PIMS-standarden.
Vores cloud-baserede platform giver dig adgang til alle dine PIMS-ressourcer på ét sted.
Du kan bruge vores brugervenlige platform til at dokumentere alt, hvad du har brug for for at vise, at du opfylder kravene i ISO 27701. Vores Assured Results Method (ARM) afmystificerer kravene i ISO 27701 og giver dig selvtillid, når du gør fremskridt mod opnåelsen af certificering.
Vi har et internt team af informationssikkerhedseksperter, som kan give vejledning og besvare spørgsmål for at hjælpe dig på vej til ISO 27701-certificering.
Find ud af mere ved booking af en demo.
