ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 7.3.1 – Fastsettelse og oppfyllelse av forpliktelser overfor PII-oppdragsgivere
Hensikten med punkt 7.3.1
Organisasjoner må først etablere og deretter fullt ut dokumentere sine lovlig, regulatorer og virksomhet forpliktelser overfor PII-oppdragsgivere.
Veiledning om punkt 7.3.1
Organisasjoner bør gi det ISO anser som "passende midler" for å møte behovene til PII-oppdragsgivere, inkludert gjennomsiktig dokumentasjon og et utpekt kontaktpunkt.
NB. Kontaktmetoder bør være identiske med måtene organisasjonen samler inn PII på.
ISO 27701 klausul 7.3.2 – Fastsettelse av informasjon for PII-oppdragsgivere
Hensikten med punkt 7.3.2
Organisasjoner må skissere og dokumentere informasjonen som PII-rektorer mottar, knyttet til behandlingen av PII.
Veiledning om punkt 7.3.2
Organisasjoner bør skissere et kategorisk sett med krav som dikterer når informasjon skal gis til PII-oppdragsgivere, og hva denne informasjonen er, for eksempel:
- Formålet med PII-en som samles inn og behandles.
- Kontaktinformasjon for selskapet.
- Hvordan og hvor PII ble innhentet.
- Kontraktsmessige og/eller lovpålagte krav.
- Hvordan samtykke kan fjernes.
- PII-overføringer.
- Hvordan sende inn en offisiell klage.
- Hvordan beslutninger tas angående behandling av PII.
- Oppbevaringsperioder for PII.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 7.3.3 – Gi informasjon til PII-oppdragsgivere
Hensikten med punkt 7.3.3
Organisasjoner må gi "klar og tilgjengelig" informasjon som fastslår hvem PII-kontrolleren er, og hvordan den behandles.
Veiledning om punkt 7.3.3
All informasjon skal gis feilfri, og på et språk som er lett å forstå (f.eks. mangler sjargong, ikke overdrevent teknisk) av personene som har evnen til å lese den (se ISO 27702 klausul 7.3.2).
Relevante ISO 27701-klausuler
- ISO 27701
ISO 27701 klausul 7.3.4 – Gi mekanisme for å endre eller trekke tilbake samtykke
Hensikten med punkt 7.3.4
Personer med PII må gis et middel til å trekke tilbake samtykke for innsamling eller behandling av PII.
Veiledning om punkt 7.3.4
På et grunnleggende nivå må organisasjoner sørge for en mekanisme som skisserer rettighetene til enhver PII-oppdragsgiver som ønsker å trekke tilbake samtykke, sammen med instruksjoner om hvordan man gjør det som er i tråd med metodene som brukes for å samle inn PII (f.eks. e-post, telefon) .
PII-oppdragsgivere bør også kunne "modifisere" samtykke – dvs. begrense behandlingsansvarlig fra å utføre visse handlinger, for eksempel å slette PII. Slike forespørsler bør dokumenteres i samsvar med prosedyrer for fjerning av samtykke.
Organisasjoner bør forplikte seg til en publisert responstid for alle endringer eller tilbaketrekking av samtykkeforespørsler.
ISO 27701 klausul 7.3.5 – Gi mekanisme for å endre eller trekke tilbake samtykke
Hensikten med punkt 7.3.5
PII-oppdragsgivere må gis muligheten til å reise innsigelser over behandlingen av deres PII.
Veiledning om punkt 7.3.5
Lovene varierer fra region til region, men noen jurisdiksjoner gir PII-rektorer rett til å reise innsigelser angående behandlingen av deres PII.
Organisasjoner bør nærme seg denne funksjonen på to måter:
- Ved å dokumentere eventuelle juridiske eller regulatoriske krav som er relatert til de spesifikke innvendingene som er reist av PII-oppdragsgivere.
- Gi rektor informasjon om hvordan de kan protestere.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 7.3.6 – Tilgang, korrigering og/eller sletting
Hensikten med punkt 7.3.6
Organisasjoner bør utarbeide, dokumentere og implementere prosedyrer som gjør det mulig for PII-rektorer adgang, korrigere og / eller slette deres PII.
Veiledning om punkt 7.3.6
Prosedyrer bør inkludere mekanismer som PII-rektor kan utføre handlingen ovenfor, inkludert hvordan organisasjonen skal informere rektor hvis rettelser ikke er i stand til å gjøres.
Organisasjoner bør forplikte seg til en publisert responstid for alle forespørsler om tilgang, retting eller sletting.
Det er svært viktig å kommunisere slike forespørsler til tredjeparter som har blitt overført PII (se ISO 27701 paragraf 7.3.7).
En PII-rektors evne til å be om rettelser eller slettinger er diktert av jurisdiksjonen som organisasjonen opererer i. Som sådan bør selskaper holde seg orientert om eventuelle juridiske eller regulatoriske endringer som styrer deres forpliktelser overfor PII.
Relevante ISO 27701-klausuler
- ISO 27701
ISO 27701 klausul 7.3.7 – PII-kontrollørers forpliktelser til å informere tredjeparter
Hensikten med punkt 7.3.7
Fra tid til annen kan det oppstå behov for å dele PII med tredjeparter (ved å bruke de riktige kanalene).
Organisasjoner må informere slike selskaper om alle forespørsler om endringer, tilbaketrekking av samtykke eller innvendinger knyttet til PII som er delt.
Veiledning om punkt 7.3.7
Organisasjoner bør bruke de passende tekniske kanalene for å sikre at tredjeparter blir informert raskt og nøyaktig, og i tråd med eventuelle regionale lov- eller forskriftskrav.
Der det er mulig, bør organisasjoner delegere denne funksjonen til en dedikert person, og ta skritt for å sikre at slike forespørsler har blitt bekreftet.
ISO 27701 klausul 7.3.8 – Levere kopi av PII behandlet
Hensikten med punkt 7.3.8
Det er svært viktig at organisasjoner er i stand til å gi, på forespørsel, en kopi av alle PII som har blitt behandlet.
Veiledning om punkt 7.3.8
ISO krever at organisasjoner gir en kopi av PII i et brukervennlig format som er lett tilgjengelig for PII-rektor.
Organisasjoner bør utvise stor forsiktighet for å sikre at all informasjon som gis er relatert utelukkende til PII-rektor som ba om det.
PII-identifikasjonslover varierer fra region til region, men hvis PII har gjennomgått en avidentifikasjonsprosess, bør ikke organisasjonene forsøke å re-identifisere, med mindre det er lovlig pålagt å gjøre det.
Organisasjoner bør også utforske metoder for å overføre PII direkte til en annen organisasjon, hvis du blir bedt om det.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 7.3.9 – Håndtering av forespørsler
Hensikten med punkt 7.3.9
Organisasjoner må følge et konkret sett med prosedyrer som styrer hvordan de skal svare på forespørsler fra PII-rektorer.
Veiledning om punkt 7.3.9
Forespørsler kan variere fra (men er ikke begrenset til) en kopi av PII, eller innlevering av en klage, og bør behandles innen en publisert responstid, som tar hensyn til forespørselens art.
Avhengig av jurisdiksjonen kan organisasjoner også kreve et behandlingsgebyr, men dette er vanligvis begrenset til overdreven eller gjentatte forespørsler.
ISO 27701 klausul 7.3.10 – Automatisert beslutningstaking
Hensikten med punkt 7.3.10
Organisasjoner bør ta opp eventuelle juridiske forpliktelser overfor PII-oppdragsgivere som er relatert til automatisert behandling av PII.
Veiledning om punkt 7.3.10
Organisasjoner bør ta hensyn til jurisdiksjonsavvik i automatisert beslutningstaking angående PII – mer spesifikt, tillate PII-rektorer å protestere og be om menneskelig inngripen i stedet for automatiserte prosedyrer.
Støtte GDPR-artikler
Ulike elementer i ISO 27701 klausul 7.3 er gjeldende i Storbritannia GDPR lovgivning. Ta en titt på tabellen nedenfor for de tilsvarende referansene.
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | Tilknyttede GDPR-artikler |
|---|---|---|
| 7.3.1 | Fastsettelse og oppfyllelse av forpliktelser overfor PII-rektorer | Artikkel (12) |
| 7.3.2 | Fastsettelse av informasjon for PII-rektorer | Artikler (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Gi informasjon til PII-rektorer | Artikler (11), (12), (13), (21) |
| 7.3.4 | Gi mekanisme for å endre eller trekke tilbake samtykke | Artikler (7), (13), (14), (18) |
| 7.3.5 | Tilbyr mekanisme for å protestere mot PII-behandling | Artikler (13), (14), (21) |
| 7.3.6 | Tilgang, korrigering og/eller sletting | Artikler (5), (13), (14), (16), (17) |
| 7.3.7 | PII-kontrollørers forpliktelser til å informere tredjeparter | Artikkel (19) |
| 7.3.8 | Levere kopi av PII behandlet | Artikler (15), (20) |
| 7.3.9 | Håndtering av forespørsler | Artikler (12), (15) |
| 7.3.10 | Automatisert beslutningstaking | Artikler (13), (14), (22) |
Hvordan ISMS.online hjelper
ISMS.online-plattformen tilbyr integrert assistanse på alle trinn, og vår 'Adopter, Adapt, Add' implementeringstilnærming til ISO 27701, for å gjøre prosessen mye enklere.
Du vil også dra nytte av en rekke tidsbesparende funksjoner.
Hvis du av en eller annen grunn opplever mangel på selvtillit, evne eller vilje til å handle under reisen din til ISO 27701, kan vi gjøre vårt team av interne eksperter tilgjengelig eller anbefale en av våre pålitelige partnere for å gi din innsats et løft.
Finn ut mer av bestille en demo.
