ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 5.2: Organisasjonens kontekst
Personvern er et komplisert lovgivningsemne som inkluderer ikke-rettslig og rettslig veiledning fra et bredt spekter av kilder.
Gjennom hele serien med kontroller refererer ISO konstant til de unike kommersielle, personvernbaserte og logistiske behovene til enhver organisasjon som arbeider med PII.
ISO 27701 5.2 dekker det som i grove trekk kan beskrives som en serie kartleggingsøvelser for organisasjoner som ønsker å forstå sine forpliktelser overfor interne og eksterne ansatte, og hvordan de samhandler med tredjepartsorganisasjoner fra en compliance og PII-perspektiv.
Hva dekkes av ISO 27701 klausul 5.2
ISO 27701 5.2 inneholder fire underklausuler som gjelder personvern og behandling/kontroll av PII, som hver tilsvarer en koblet klausul i ISO 27001 (som fungerer som hovedveiledningsdokumentet).
I tillegg inneholder ISO 27701 ekstra veiledningspunkter for organisasjoner som ønsker å implementere et PIMS, med tips om hvordan man kan bruke både ISO 27701 og ISO 27001 retningslinjer for dette spesifikke emnet.
Organisasjoner må se og implementere ISO 27701 sammen med artiklene i statlige GDPR retningslinjer. Der det er aktuelt, har vi fremhevet de relevante GDPR-artiklene ved siden av de tilstøtende underklausulene.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 5.2.1 – Forstå organisasjonen og dens kontekst
Referanser ISO 27001 Kontroll 4.1
Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.
Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.
Ytterligere PIMS- og PII-veiledning
Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.
Dette inkluderer:
- Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser";
- Ta hensyn til organisasjonens unike sett med krav knyttet til typen produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer;
- Eventuelle administrative faktorer, inkludert den daglige driften av selskapet;
- Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.
Gjeldende GDPR-artikler
- Artikkel 24 – Den behandlingsansvarliges ansvar
- Gjeldende del – (3)
- Artikkel 25 – Databeskyttelse ved design og standard
- Gjeldende del – (3)
- Artikkel 28 – Behandler
- Gjeldende seksjoner – (5), (6), (10)
- Artikkel 32 – Behandlingssikkerhet
- Gjeldende del – (2)
- Artikkel 40 – Retningslinjer
- Gjeldende seksjoner – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artikkel 41 – Overvåking av godkjente etiske retningslinjer
- Gjeldende seksjoner – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artikkel 42 – Sertifisering
- Gjeldende seksjoner – (1), (2), (3), (4), (5), (6), (7), (8)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 5.2.2 – Forstå behovene og forventningene til interesserte parter
Referanser ISO 27001 Kontroll 4.2
PII og personvern har potensial til å påvirke et stort antall ansatte, brukere, kunder, både internt og eksternt.
Organisasjoner må få en solid forståelse av behovene til berørt personell og hva ISO anser som "interesserte parter".
Organisasjonens behov for å etablere og dokumentere:
- Eventuelle "interesserte parter" som er relevante for det bredere temaet personvern;
- Hva de unike kravene er til nevnte individer innenfor rammen av en PIMS;
Organisasjoner bør også ta hensyn til eventuelle juridiske, regulatoriske eller kontraktsmessige forpliktelser, sammen med praktiske og operasjonelle krav.
Ytterligere PIMS- og PII-veiledning
Når du implementerer en PIMS, må organisasjoner kartlegge en liste over interesserte parter som enten er berørt av en PIMS, eller som har en rolle å spille i behandlingen av PII.
Når det gjelder PII, kan en interessert part være en av følgende (men ikke begrenset til):
- En ansatt;
- En kunde;
- Regulerende, rettslige eller tilsynsmyndigheter;
- Andre PII-kontrollere og prosessorer.
Det er viktig å merke seg at PII-krav – relatert til en PIMS – ofte kommer fra et bredt spekter av kilder, inkludert:
- Interne prosesser og mål;
- Offentlige og/eller regulerende organer;
- Kontraktsforpliktelser med tredjepartsorganisasjoner.
Det kan ofte være vanskelig for styrende og regulatoriske organisasjoner å bekrefte overholdelse av publiserte personvernstandarder fra en organisasjons side, i rollen som PII-behandler og kontroller.
Som sådan må organisasjoner forvente at slike organer krever uavhengige gjennomganger av ethvert relevant styringssystem, for å tilfredsstille deres egne revisjonskrav.
Gjeldende GDPR-artikler
- Artikkel 31 – Samarbeid med tilsynsmyndigheten
- Artikkel 35 – Konsekvensvurdering av databeskyttelse
- Gjeldende del – (9)
- Artikkel 36 – Forutgående konsultasjon
- Gjeldende seksjoner – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 5.2.3 – Bestemme omfanget av styringssystemet for informasjonssikkerhet
Referanser ISO 27001 Kontroll 4.3
ISO anbefaler en grundig scoping-øvelse, slik at organisasjoner er i stand til å produsere et PIMS som for det første oppfyller kravene til personvern, og for det andre ikke kryper inn i områder av virksomheten som ikke trenger oppmerksomhet.
Organisasjoner bør etablere og dokumentere:
- Eventuelle eksterne eller interne problemer, som skissert i ISO 27001 4.1;
- Tredjepartskrav som skissert i ISO 27001 4.2;
- Hvordan organisasjonen samhandler med både seg selv og eksterne instanser (f.eks. kundekontaktpunkter, IKT-grensesnitt).
Ytterligere PIMS- og PII-veiledning
Alle omfangsøvelser som kartlegger en PIMS-implementering bør inkludere en grundig vurdering av PII-behandling og lagringsaktiviteter.
Gjeldende GDPR-artikler
- Artikkel 32 – Behandlingssikkerhet
- Gjeldende del – (2)
ISO 27701 klausul 5.2.4 – styringssystem for informasjonssikkerhet
Referanser ISO 27001 Kontroll 4.4
Organisasjoner bør søke å implementere, administrere og optimalisere et PIMS, i tråd med publiserte ISO-standarder.
Gjeldende GDPR-artikler
- Artikkel 32 – Behandlingssikkerhet
- Gjeldende del – (2)
Støttekontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27001-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.2.1 | Forstå organisasjonen og dens kontekst |
4.1 – Forstå organisasjonen og dens kontekst for ISO 27001 |
Artikkel (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Forstå behovene og forventningene til interesserte parter |
4.2 – Forstå behovene og forventningene til interesserte parter for ISO 27001 |
Artikkel (31), (35), (36) |
| 5.2.3 | Bestemme omfanget av styringssystemet for informasjonssikkerhet |
4.3 – Bestemme omfanget av ISMS for ISO 27001 |
Artikkel (32) |
| 5.2.4 | Styringssystem for informasjonssikkerhet |
4.4 – Informasjonssikkerhetsstyringssystem (ISMS) for ISO 27001 |
Artikkel (32) |
Hvordan oppnå ISO 27701-samsvar gjennom ISMS.online
ISMS.online-plattformen tilbyr en tilpassbar PIMS-funksjon som overvåker, rapporterer og reviderer mot både ISO 27001 og ISO 27701 ved å klikke på en knapp.
Løsningen vår har et dynamisk Records of Processing Activity-verktøy som fjerner hodepinen knyttet til datakartlegging, dataregistrering og revisjon, med en innebygd risikobank som tilbyr praktisk assistanse gjennom hele vurderings- og styringsprosessen.
ISO 27701 5.2 inneholder en rekke veiledningspunkter om tredjeparts personvernstandarder og forholdet mellom en PII-kontrollør og en registrert, via en mandatert Data Subjects Rights Request (DRR). Vårt DRR-styringssystem tilbyr et sentralisert administrasjonssenter som tar seg av alt fra forespørsler til rapportering og analyser.
Finn ut hvor mye tid og penger du vil spare på reisen til en kombinert ISO 27001- og 27701-sertifisering ved å bruke ISMS.online ved å bestille en demo.
