ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Hvordan ISO 27701 sikrer personvern under ansettelse: En veiledning til klausul 6.4.2
Organisasjoner har en forpliktelse overfor sine ansatte, som omfatter at de informerer personalet om hva som forventes av dem innenfor konteksten av personvern og PII – både på generelt og temaspesifikk nivå.
I egenskap av PII-kontrollører bør organisasjoner tilby pågående opplærings- og bevisstgjøringsprogrammer, og følge en robust disiplinær policy som setter klare forventninger til begge sider, i tilfelle et datainnbrudd.
Hva dekkes av ISO 27701 klausul 6.4.2
ISO 27701 6.4.2 inneholder tre hovedunderklausuler som omhandler ulike aspekter av ansettelsesspesifikke personvernemner.
Hvert emne inneholder veiledning fra en rekke ISO 27002 kontroller, presentert i sammenheng med organisasjonshåndtering av personverninformasjon og PII-beskyttelse:
- ISO 27701 klausul 6.4.2.1 – Ledelsesansvar (referanser ISO 27002 kontroll 5.4)
- ISO 27701 klausul 6.4.2.2 – Informasjonssikkerhetsbevissthet, utdanning og opplæring (referanser ISO 27002 kontroll 6.3)
- ISO 27701 klausul 6.4.2.3 – Disiplinære prosedyrer (referanser ISO 27002 kontroll 6.4)
Ytterligere PIMS-spesifikk veiledning knyttet til behandling av PII finnes i paragraf 6.4.2.1, som også er knyttet til britisk GDPR-lovgivning.
Vær oppmerksom på at GDPR-sammenligninger er for kun veiledende formål. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.4.2.1 – Ledelsesansvar
Referanser ISO 27002 Kontroll 5.4
Ledelsen spiller en nøkkelrolle i å opprettholde standarder for personvern – både fra et administrativt perspektiv, og også for å sikre at ansatte forstår hva som forventes av dem, og oppfører seg deretter.
Toppledelsen bør sikre at alt personell:
- Erkjenne deres individuelle ansvar for håndtering av personverninformasjon og personvern – både generelt og fra et emnespesifikt perspektiv – før de får lov til å samhandle med PII og relaterte eiendeler (se ISO 27002 6.3).
- Er utstyrt med et klart sett med retningslinjer og prosedyrer som styrer personvern innenfor rammen av deres rolle.
- Får ressursene og passende myndighetsnivåer til å planlegge prosjekter/endringer, og oppfylle organisasjonens generelle og temaspesifikke retningslinjer for personvern.
- Forstå vilkårene og betingelsene for deres ansettelse, relatert til personvern, og hva de betyr i praksis.
- Får mulighet til å utvikle sin forståelse av personvern både som konsept, og en løpende operasjonell vurdering.
- Forstå hvordan du kan kommunisere anonymt brudd på retningslinjene for personvernbeskyttelse på tvers av organisasjonen (også kalt «varsling»).
Relevante kontroller
- ISO 27002
ISO 27701 klausul 6.4.2.2 – Informasjonssikkerhetsbevissthet, utdanning og opplæring
Referanser ISO 27002 Kontroll 6.3
Kurs
Løpende opplæring på arbeidsplassen sikrer at personalet holdes oppdatert med organisatoriske retningslinjer for personvern (generelle og emnespesifikke), endringer innenfor PII-lovgivning og sektorspesifikke regulatoriske retningslinjer.
Som en generell tilnærming bør organisasjoner implementere periodiske opplæringsprogrammer for personalet (inkludert under ombordstigningsfasen) som er spesielt tilpasset deres egne generelle og emnespesifikke retningslinjer for personvern, og PIMS-relaterte krav.
Opplæringsformater kan omfatte:
- e-læring.
- En-til-en rådgivning.
- Ansatte som skygger for hverandre.
- Dedikerte opplæringsseminarer utført av emnespesifikke eller generaliserte personvernspesialister.
- Arbeidsplassveiledning.
Personale med en spesialisert rolle å spille innen personvern – f.eks. IKT-vedlikeholdspersonale – bør dra nytte av spesialiserte opplæringsplaner som tar hensyn til den integrerte rollen de spiller i å ivareta PII.
Opplæringsplaner/-økter bør avsluttes med en vurdering som gir organisasjonen et ovenfra-og-ned-bilde av kompetansenivåer på ansatt-for-ansatt-basis.
Bevissthetsprogrammer
For å utfylle opplæring på arbeidsplassen, bør organisasjoner også lansere bevisstgjøringsprogrammer for personvern som gir ansatte en rekke materialer som fungerer som informasjonspunkter om temaet PII og organisasjoners personvern.
Bevissthetsprogrammer kan omfatte:
- brosjyrer.
- hefter.
- kontorplakater.
- dedikerte nettsider.
- team briefing økter.
Bevisstgjøringsarbeid bør fokuseres på:
- Hvordan ledelsen planlegger å opprettholde personvernoverholdelse på tvers av organisasjonen, og hvem de viktigste kontaktpunktene er for PII-relaterte saker.
- Hva er organisasjonens etterlevelseskrav, under hensyntagen til lover, forskriftsbestemmelser, kontraktsforpliktelser og leverandøravtaler.
- Fremhever behovet for personlig ansvarlighet når det gjelder å beskytte PII, og hva konsekvensene er for tilfeldige eller formålstjenlige prosedyrebrudd.
- Grunnleggende IKT-sikkerhetsprinsipper, som passordsikkerhet og hendelsesrapportering.
- Hvordan personell kan informere seg om de finere sidene ved personvern (videre lesing, ressurslister osv.).
Ytterligere PIMS-spesifikk veiledning
PII bør behandles som sitt eget distinkte tema innenfor opplæringsprogrammer for personvern.
Personalet må gjøres akutt oppmerksomme på de spesifikke juridiske, kommersielle, omdømmemessige og disiplinære konsekvensene som følger av uriktig tilegnelse og/eller feilhåndtering av PII.
GDPR-veiledning
- Artikkel 39 – (1)(b)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.4.2.3 – Disiplinære prosedyrer
Referanser ISO 27002 Kontroll 6.4
Organisasjoner bør utvikle disiplinære prosedyrer som imøtekommer enkeltpersoner som har brutt generelle eller emnespesifikke retningslinjer for personvern.
Før disiplinære tiltak iverksettes, er det viktig at organisasjonen bekrefter at et brudd på retningslinjene faktisk har funnet sted (se ISO 27002 5.28).
Disiplinære prosedyrer bør ta hensyn til:
- Datainnbruddets underliggende karakter, og hva de ulike konsekvensene er.
- Motivene til den berørte personen, og om bruddet var forsettlig eller ikke.
- Hvor mange ganger den enkelte har brutt personvernerklæringen.
- Hvis den enkelte har fått tilstrekkelig opplæring i relevante aspekter ved personvern.
- Enhver individuell rett til anonymitet, gjennom hele disiplinærprosessen.
Disiplinære handlinger ved bekreftet brudd bør brukes som avskrekkende middel for lignende aktivitet, og bør ta hensyn til organisasjonens forpliktelser som PII-kontrollør og behandler, sammen med alle relevante lover, regulatoriske retningslinjer og kontraktsmessige forpliktelser.
Relevante kontroller
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.4.2.1 | Ledelsesansvar |
5.4 – Ledelsesansvar for ISO 27002 |
none |
| 6.4.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.3 – Informasjonssikkerhetsbevissthet, utdanning og opplæring for ISO 27002 |
Artikkel (39) |
| 6.4.2.3 | Disiplinære prosedyrer |
6.4 – Disiplinær prosess for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Vi har deg dekket.
Hvis du av en eller annen grunn opplever mangel på selvtillit, evne eller vilje til å handle under reisen din til ISO 27701, kan vi gjøre vårt team av interne eksperter tilgjengelig eller anbefale en av våre pålitelige partnere for å gi din innsats et løft.
Her for å hjelpe når du trenger det.
Finn ut mer av bestille en demo.
