Värdet med ISO 27701

ISO 27701 är en tilläggsstandard för dataskydd till ISO/IEC 27001 som fastställer ytterligare krav och ger vägledning till att säkerställa dataskyddet när personuppgifter behandlas. I takt med att dataskyddsförordningar och säkerhetsföreskrifter överlappar allt mer, ökar även behovet av att dessa två avdelningar samarbetar, kommunicerar effektivare och använder gemensamma verktyg. Teknik behövs för att upprätthålla och kontinuerligt förbättra hanteringssystem för personuppgifter (PIMS) i enlighet med ISO 27701 (tidigare kallat ”ISO 27552”) samt för planering för och efterlevnad av globala lagar och ramverk för datasäkerhet.

Hur OneTrust kan hjälpa


img_1 2

Beslut kring hanteringssystem för personuppgifter

ISO 27701 innehåller en strategisk plan för att fastställa både interna och externa fraktorer som kan påverka dataskyddet (inklusive tredje parts intressen) för att fastställa omfattning och sammanhang, och sedan ta fram lämpliga riktlinjer och rutiner. Använd planeringsmallen ISO 27701 från OneTrust för hantering av personuppgifter för att lättare fatta beslut i enlighet med klausul 5 i ISO 27701-standarden. Detta kan exempelvis vara att utvärdera din organisation och dess förutsättningar, förstå intressenters behov och förväntningar, fastställa hanteringssystemets omfattning. Identifiera ledarskapsroller och ansvarsområden, fastställa och uppnå mål, definiera riskkriterier och mycket mer.

img_2 3

Dokumentation i hanteringssystemet för personuppgifter

ISO 27701 kräver att en stor mängd dokument skapas, granskas, uppdateras och regleras på rätt sätt under hanteringssystemets livslängd. Denna dokumentation är avgörande för att hanteringssystemet ska vara effektivt och ständigt kunna förbättras, samt för att uppnå och upprätthålla certifiering. Använd dokumentdatabasen i OneTrust för att lagra och organisera personuppgifter på en central plats så att avdelningen ansvarig för personuppgifter och annan personal som behöver tillgång har tillgång till den.

img_3 4

Dataskyddsutbildning, test och intyg

Enligt klausul 5.5 i ISO 27701 ska anställda och entreprenörer informeras om organisationens integritetspolicy, deras enskilda bidrag, roller och ansvar i hanteringssystemet för personuppgifter samt konsekvenserna av att inte uppfylla kraven. I bilaga A/B fastslås att alla anställda och entreprenörer ska få utbildning och fortbildning inom dataskydd och informationssäkerhet, samt regelbundna uppdateringar om relevanta riktlinjer och rutiner. OneTrust mallar, t.ex. mallen ”Privacy and Security Training Quiz and Attestation”, kan vara till hjälp för att testa hur effektiv utbildningen är, samt för att registrera anställdas intyg om godtagbar användningspolicy eller dokument om medarbetaransvar.

img_4 5

Interna granskningar

Klausul 5.7 fastslår att interna granskningar av informationssäkerhetssystemet måste utföras mot standarden ISO/IEC 27701:2019 (inklusive alla kontroller i avsnitt 5 och tillämpliga kontroller i bilaga A/B). Dessutom krävs enligt klausul 5.7.3 en översyn av hanteringssystemet för personuppgifter med planerade intervall. Använd OneTrust-mallen ”ISO 27701 Audit Checklist”, ett helt anpassningsbart frågeformulär som bygger på ISO 27701, för att lättare genomföra interna eller externa granskningar och utvärdera hanteringssystemets mognad och effektivitet, samt för att följa upp korrigerande åtgärder. När du har genomfört en granskning kan du enkelt generera en granskningsrapport som visar en översikt över svar, kommentarer och bevisbilagor.

img_5 6

Register över personuppgiftsbiträde

I bilaga A.7.2.8 och B.8.2.6 rekommenderas organisationer att fastställa vilka register som behövs för att de ska kunna uppfylla sina behandlingsskyldigheter, samt att underhålla och bevara dessa. Organisationer bör skapa och underhålla en förteckning eller en detaljerad lista över all behandling av personuppgifter som de utför. Med OneTrust kan du skapa och underhålla register över organisationens resurser och leverantörer, de risker som är förknippade med var och en av dem samt vem som ansvarar för dem inom organisationen. Med automatisering av datakartläggning samlar du in information om syftet med, typen av och insamlingsprocessen för personuppgifter och hur de samlas in, används, lagras och överförs. Du kan också generera visualiseringar och dataflödesdiagram som verktyg för att underlätta analys och kommunikation.

img_6 7

Riskbedömning och åtgärder

Klausul 5.4 fastslår att en detaljerad riskbedömningsmetod ska införas, som omfattar kriterier för identifikation av olika risknivåer. I klausul 5.6 krävs sedan att dessa metoder implementeras, till exempel genom att följa riskmetoden vid riskbedömning, fastställa riskåtgärdsplaner och följa upp dem till slutförande, samt beräkna kvarvarande risk och se till att allt detta dokumenteras på ett säkert sätt. Använd OneTrusts ”Automatisering av bedömning” och ett omfattande utbud med frågeformulär för att identifiera och beräkna risker för enskilda till följd av att deras personuppgifter behandlas, och för att utforma och följa upp planer för riskåtgärder.

img_7 8

Hantering av leverantörer och personuppgiftsbehandlare

Enligt klausul 6.12.1.2 bör organisationer inkludera särskilda villkor i avtal mellan sig och underleverantörer. I klausul 7.2.6 anges att avtal mellan en organisation och personuppgiftsbiträden ska kräva implementering av lämpliga kontroller enligt bilaga B. I klausul 7.5 rekommenderas att organisationer fastställer och dokumenterar den tillämpliga grunden för internationella överföringar av personuppgifter. Använd OneTrust Vendorpedia, en programvara för riskhantering av tredje part, för att automatisera livscykeln för leverantörsamarbetet från början till slut, och lättare uppnå och bibehålla en ISO 27701-certifiering.

img_8 9

Respons på incident och överträdelse

Klausul 6.13.1.1 anger att en organisations process för incidenthantering ska innehålla ansvar och processer relaterade till identifiering och registrering av överträdelser i samband med behandling av personuppgifter. Meddelanden om säkerhetsincidenter och svagheter, registrering av incidenter och överträdelser, bedömning av anmälningsskyldigheter, och riskanalys i relation till bearbetningsaktiviteter, tillgångar och leverantörer. OneTrust kan användas för att genomföra policyer och procedurer för incidenthantering.

img_9 10

Hantering av rättigheter för registrerade och konsumenter

Bilaga A.7.3 specificerar att enskilda personer ska få korrekt information om behandlingen av deras personuppgifter. En organisation ska upprätta, dokumentera och upprätthålla sina skyldigheter gentemot enskilda personer i enlighet med juridiska och affärsmässiga krav. OneTrust tillhandahåller ett standardiserat sätt för dataskyddsprogram att ta emot begäranden och hantera dem i ett centraliserat system. Dessutom kan du skräddarsy ett företagsspecifikt webbformulär – med länk från ditt företags webbsida för integritetspolicy – samt få meddelanden om en inskickad begäran, validera identiteten och automatiskt registrera en förlängning om ett slutdatum närmar sig.

img_10 11

Hantering av samtycke och preferenser

Enligt ISO 27701 måste samtycke erhållas i tillämpliga fall från enskilda personer och registreras så att uppgifterna, exempelvis när samtycket lämnades, personens identitetsbevis, samt intyget av samtycke kan lämnas ut vid begäran. Använd OneTrust-verktyget för hantering av samtycke för att visa efterlevnad med detaljerade register över samtycke. OneTrust tillhandahåller plattform och instrument som behövs för att samla in giltigt samtycke enligt kraven i ISO 27701, samt i dataskyddsförordningar så som GDPR, CCPA och LGPD.

Önskar du lära dig mer?

Begär en 1:1 demo och lär dig mer om hur OneTrust kan hjälpa till med ISO 27701

Begär en demo
Onetrust All Rights Reserved