Förstå ISO 27701 klausul 8.5: PII-delning, överföring och avslöjande
ISO 27701 klausul 8.5 beskriver en organisations mål närhelst PII ska överföras till eller avslöjas till andra länder, organisationer och underleverantörer.
ISO 27701 klausul 8.5.1 – PII-delning, överföring och avslöjande
Syftet med klausul 8.5.1
Närhelst PII ska överföras mellan jurisdiktioner måste organisationer informera kunden om det underliggande behovet av att göra det i tid.
Vägledning om klausul 8.5.1
Reglerna för PII-överföring kan variera från region till region, beroende på var data överförs till och från.
Transferdestinationer kan inkludera:
- Leverantörer.
- Utomstående.
- Olika länder.
- Internationella organisationer.
Organisationer bör ge kunden adekvat meddelande om alla överföringar, så att invändningar kan göras och, under vissa omständigheter, begäran om uppsägning kan göras.
Organisationer behöver inte alltid informera kunderna om ändringar i deras dataöverföringsarrangemang, men kontrakt bör tydligt beskriva de omständigheter under vilka de behöver erbjuda förvarning.
När organisationer överför PII till ett annat land bör de överväga officiella mekanismer, såsom:
- Modellavtalsklausuler.
- Bindande företagsregler.
- Gränsöverskridande integritetsregler.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 klausul 8.5.2 – Länder och internationella organisationer till vilka PII kan överföras
Syftet med klausul 8.5.2
Organisationer bör föra en korrekt, uppdaterad lista över alla länder eller organisationer där PII har potential att överföras till.
Vägledning om klausul 8.5.2
Kunder bör kunna se en lista över potentiella mottagarländer och organisationer vid varje given tidpunkt, inklusive en logg över alla länder som är involverade i PII-underleverantörer (se ISO 27701 klausul 8.5.1).
Under vissa omständigheter kommer organisationer inte alltid att kunna avslöja i förväg var förfrågningar om överföring har kommit från – särskilt när det gäller fall av brottmål. Detta är oundvikligt, och det bör vara organisationens prioritet att upprätthålla integriteten hos en brottsbekämpande operation (se ISO 27701 paragraferna 7.5.1, 8.5.4 och 8.5.5).
Relevanta ISO 27701-klausuler
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
ISO 27701 klausul 8.5.3 – Register över offentliggörande av PII till tredje part
Syftet med klausul 8.5.3
Organisationer bör noggrant registrera alla instanser där de behöver avslöja PII till en tredje part.
Vägledning om klausul 8.5.3
Närhelst PII avslöjas – antingen som en del av vanliga affärsrutiner eller under speciella omständigheter, såsom en pågående juridisk eller regulatorisk process – bör organisationer registrera vad som har avslöjats, mottagaren och den bakomliggande orsaken till att göra det.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 8.5.4 – Meddelande om begäranden om offentliggörande av PII
Syftet med klausul 8.5.4
Närhelst en juridiskt bindande begäran görs för organisationen att avslöja PII, där det är tillåtet, bör organisationen informera PII-huvudmannen om begäran.
Vägledning om klausul 8.5.4
Organisationer bör utarbeta ett förfarande som styr hur PII-huvudmän underrättas om juridiskt bindande begäranden från tredje part om deras information, inklusive en rimlig tidsram och en avtalsbestämmelse som beskriver hela processen.
Framför allt behöver organisationer följa kraven från brottsbekämpande myndigheter, som har rätt att begära att kunden inte underrättas om någon begäran, och se till att de inte bryter mot några lagar genom att av misstag eller avsiktligt informera kunden om situationen.
ISO 27701 Klausul 8.5.5 – Rättsligt bindande PII-upplysningar
Syftet med klausul 8.5.5
Organisationer bör omedelbart invända mot varje begäran om avslöjande av PII som strider mot gällande datasäkerhetslagar, eller som på något sätt inte är juridiskt bindande.
PII-huvudmän bör rådfrågas innan organisationen avslöjar någon PII-relaterad information, och organisationer bör följa avtalsvillkor som beskriver vilka avslöjande som är tillåtna, ur kundens perspektiv.
Vägledning om klausul 8.5.5
Kontrakt måste vara specifika i vad de betraktar som en laglig begäran, utöver alla som är auktoriserade av kunden, inklusive de som härrör från:
- Domstolar.
- Arbetsförmedlingar.
- Arbetstvister.
- Tillsynsmyndigheter/förvaltningsmyndigheter.
ISO 27701 Klausul 8.5.6 – Rättsligt bindande PII-upplysningar
Syftet med klausul 8.5.6
Innan organisationen samarbetar med underleverantörer som är skyldiga att bearbeta PII, bör organisationen avslöja detaljerna i förhållandet först, innan de tillåter underleverantören att utföra sina uppgifter.
Vägledning om klausul 8.5.6
Alla bestämmelser för användning av underleverantörer bör anges som sådana i SLA/kundkontraktet.
Information om underleverantörer bör innehålla:
- Underleverantörens namn.
- Alla länder som underleverantören kan överföra data till (se ISO 27701 klausul 8.5.2), så att kunden kan informera eventuella PII-huvudmän.
- Hur underleverantören förväntas möta organisationens behov (se ISO 27701 klausul 8.5.7).
NDA:er bör utarbetas för att avslöja all information som skulle innebära en ökad säkerhetsrisk om den exponeras offentligt.
Relevanta ISO 27701-klausuler
- ISO 27701 8.5.2
- ISO 27701 8.5.7
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 8.5.7 – Engagemang av en underleverantör för att bearbeta PII
Syftet med klausul 8.5.7
Den enda gången det är acceptabelt att lägga ut PII-bearbetningsaktiviteter på underleverantörer är vid sidan av bestämmelserna i ett avtalsavtal.
Vägledning om klausul 8.5.7
Organisationer måste erhålla skriftligt godkännande från sina kunder innan någon PII behandlas av en tredjepartsorganisation.
Underleverantörer bör omfattas av ett bindande avtal (vanligtvis i form av ett skriftligt kontrakt), som säkerställer att underleverantörer förstår sina skyldigheter för att implementera kontrollerna som anges i ISO 27701 bilaga B.
Kontrakt bör ta hänsyn till olika riskbedömningsprocesser (se ISO 27701 klausul 5.4.1.2) och hela omfattningen av organisationens PII-behandling (se ISO 27701 klausul 6.12). Som ovan bör alla kontroller som anges i bilaga B följas, med eventuella utelämnanden listade, tillsammans med motiveringarna för att göra det.
Relevanta ISO 27701-klausuler
- ISO 27701 5.4.1.2
- ISO 27701 6.12
ISO 27701 Klausul 8.5.8 – Byte av underleverantör till Process PII
Syftet med klausul 8.5.8
Närhelst det uppstår behov av att ändra hur organisationen lägger ut någon del av sin PII-bearbetning på entreprenad, bör kunderna informeras om ändringarna i god tid för att ge dem tid att ifrågasätta eller invända mot dessa ändringar.
Vägledning om klausul 8.5.8
Kontrakt bör innehålla klausuler som kräver skriftligt tillstånd från kunden för att gå vidare med ändringen, innan någon PII behandlas.
Organisationer kan också söka godkännande för ändringar inom skriftliga ad hoc-avtal, utanför eventuella avtalsvillkor.
Stödjer GDPR-artiklar
Olika delar av ISO 27701 klausul 8.5 är tillämpliga inom Storbritannien GDPR lagstiftning. Ta en titt på tabellen nedan för motsvarande referenser.
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | Tillhörande GDPR-artiklar |
|---|---|---|
| 8.5.1 | Grund för PII-överföring mellan jurisdiktioner | Artiklar Lagring, Lagring, (48), Lagring |
| 8.5.2 | Länder och internationella organisationer till vilka PII kan överföras | Artikeln Lagring |
| 8.5.3 | Register över offentliggörande av PII till tredje part | Artikeln Lagring |
| 8.5.4 | Meddelande om begäranden om offentliggörande av PII | Artikeln Lagring |
| 8.5.5 | Rättsligt bindande PII-upplysningar | Artikel (48) |
| 8.5.6 | Offentliggörande av underleverantörer som används för att bearbeta PII | Artikeln Lagring |
| 8.5.7 | Engagemang av en underleverantör för att bearbeta PII | Artikeln Lagring |
| 8.5.8 | Byte av underleverantör till Process PII | Artikeln Lagring |
Hur ISMS.online hjälper
På ISMS.online gör vi det enklare för din organisation att dokumentera ditt hanteringssystem för sekretessinformation. Vi förser dig med ett logiskt, användbart, molnbaserat informationshanteringsgränssnitt som hjälper din organisation att kontrollera dess sekretessprocesser och framsteg mot ISO 27701/PIMS-standarden.
Vår molnbaserade plattform låter dig komma åt alla dina PIMS-resurser på ett ställe.
Du kan använda vår lättanvända plattform för att dokumentera allt du behöver för att visa att du uppfyller kraven i ISO 27701. Vår Assured Results Method (ARM) avmystifierar kraven i ISO 27701 och ger dig självförtroende när du går framåt mot att uppnå certifiering.
Vi har ett internt team av informationssäkerhetsexperter som kan ge vägledning och svara på frågor för att hjälpa dig på vägen mot ISO 27701-certifiering.
Ta reda på mer av boka en demo.
