ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 7.4.1 – Limit Collection
Hensikten med punkt 7.4.1
Organisasjoner bør begrense innsamlingen av PII basert på tre faktorer:
- Relevans.
- Proporsjonalitet.
- Nødvendighet.
Veiledning om punkt 7.4.1
Organisasjoner bør kun samle inn PII – enten direkte eller indirekte – i samsvar med de ovennevnte faktorene, og kun for formål som er relevante og nødvendige for deres uttalte formål.
Som et konsept bør 'personvern som standard' overholdes – dvs. eventuelle valgfrie funksjoner bør deaktiveres som standard.
ISO 27701 klausul 7.4.2 – Grensebehandling
Hensikten med punkt 7.4.2
For å følge ISO 27701 7.4.1, bør organisasjoner også kun behandle PII hvis det er relevant, proporsjonalt og nødvendig for å oppfylle et uttalt formål.
Veiledning om punkt 7.4.2
PII-behandling inkluderer:
- Formidling.
- Oppbevaring.
- Tilgjengelighet.
Alle de ovennevnte funksjonene bør utføres til minimumsnivåene som kreves for å oppfylle et mål.
Organisasjoner bør begrense behandlingen av PII i forbindelse med publiserte informasjonssikkerhetsprosesser, retningslinjer og prosedyrer (se ISO 27701 klausul 6.2).
Relevante ISO 27701-klausuler
- ISO 27701
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 7.4.3 – Nøyaktighet og kvalitet
Hensikten med punkt 7.4.3
Organisasjoner bør ta skritt for å sikre at PII er nøyaktig, fullføre og up-to-date, gjennom hele livssyklusen.
Veiledning om punkt 7.4.3
Organisatoriske retningslinjer for informasjonssikkerhet og tekniske konfigurasjoner bør inneholde trinn som søker å minimere feil gjennom PII-behandlingen, inkludert kontroller for hvordan man skal reagere på unøyaktigheter.
ISO 27701 klausul 7.4.4 – PII-minimeringsmål
Hensikten med punkt 7.4.4
Organisasjoner må konstruere «dataminimering»-prosedyrer, inkludert mekanismer som avidentifikasjon.
Veiledning om punkt 7.4.4
Dataminimering bør brukes for å sikre at PII-innsamling og -behandling er begrenset til det 'identifiserte formålet' for hver funksjon (se ISO 27701 klausul 7.2.1).
En stor del av denne prosessen innebærer å dokumentere i hvilken grad en PII-oppdragsgivers informasjon skal kunne henføres direkte til dem, og hvordan minimering skal oppnås via en rekke tilgjengelige metoder.
Organisasjoner bør skissere de spesifikke teknikkene som brukes for å avidentifisere PII-prinsipper, for eksempel:
- Randomisering.
- Støytillegg.
- Generalisering.
- Fjerning av attributter.
Relevante ISO 27701-klausuler
- ISO 27701
ISO 27701 klausul 7.4.5 – PII-avidentifikasjon og sletting ved slutten av behandlingen
Hensikten med punkt 7.4.5
Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.
Veiledning om punkt 7.4.5
Så snart organisasjonen har fastslått at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 7.4.6 – Midlertidige filer
Hensikten med punkt 7.4.6
Midlertidige filer opprettes av en rekke tekniske årsaker, gjennom PII-behandlingen og innsamlingens livssyklus, på tvers av en rekke applikasjoner, systemer og sikkerhetsplattformer.
Organisasjoner må sørge for at disse filene blir ødelagt innen rimelig tid, i samsvar med offisielle retningslinjer for oppbevaring.
Veiledning om punkt 7.4.6
En enkel måte å identifisere eksistensen av slike filer på er å utføre periodiske kontroller av midlertidige filer på tvers av nettverket. Midlertidige filer inkluderer ofte:
- Databaseoppdateringsfiler.
- Bufret informasjon.
- Filer laget av applikasjoner og skreddersydde programvarepakker.
Organisasjoner bør forholde seg til en såkalt prosedyre for søppelhenting som sletter midlertidige filer når de ikke lenger er nødvendige.
ISO 27701 klausul 7.4.7 – Oppbevaring
Hensikten med punkt 7.4.7
Det er svært viktig at organisasjoner erkjenner sine forpliktelser til å slette og/eller avhende PII som ikke lenger er nødvendig for å oppnå et uttalt formål.
Veiledning om punkt 7.4.7
Organisasjoner bør utarbeide og overholde kategoriske oppbevaringsplaner som skisserer den nøyaktige tidsperioden som PII-rektorer kan forvente at dataene deres blir lagret for.
Oppbevaringsplaner bør skreddersys rundt eventuelle juridiske, lovpålagte eller kontraktsmessige krav som styrer hvor lenge PII skal lagres på en gitt plattform.
ISO 27701 klausul 7.4.8 – Avhending
Hensikten med punkt 7.4.8
Organisasjoner må ha klare retningslinjer og prosedyrer som styrer hvordan PII avhendes.
Veiledning om punkt 7.4.8
Datadisponering er et omfattende emne som inneholder en rekke forskjellige variabler, basert på den nødvendige disponeringsteknikken og arten til dataene som blir kastet.
Organisasjoner må vurdere:
- Hva PII inkluderer.
- Eventuelle gjenværende metadata som må slettes sammen med hoveddataene.
- Typen lagringsmedier PII holdes på.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 7.4.9 – PII-overføringskontroller
Hensikten med punkt 7.4.9
Enhver PII som er satt til å bli overført til en tredjepartsorganisasjon bør gjøres med den største forsiktighet for informasjonen som sendes, ved hjelp av sikre midler.
Veiledning om punkt 7.4.9
Organisasjoner må sikre at kun autorisert personell har tilgang til overføringssystemer, og gjør det på en måte som lett kan revideres med det eneste formålet å få informasjonen dit den trenger å gå uten hendelser.
Støtte GDPR-artikler
Ulike elementer i ISO 27701 klausul 7.4 er gjeldende i Storbritannia GDPR lovgivning. Ta en titt på tabellen nedenfor for de tilsvarende referansene.
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | Tilknyttede GDPR-artikler |
|---|---|---|
| 7.4.1 | Begrens samling | Artikkel (5) |
| 7.4.2 | Begrens behandling | Artikkel (25) |
| 7.4.3 | Nøyaktighet og kvalitet | Artikkel (5) |
| 7.4.4 | PII-minimeringsmål | Artikkel (5) |
| 7.4.5 | PII-avidentifikasjon og sletting ved slutten av behandlingen | Artikler (5), (6), (11), (32) |
| 7.4.6 | Midlertidige filer | Artikkel (5) |
| 7.4.7 | Oppbevaring | Artikler (13), (14) |
| 7.4.8 | Avhending | Artikkel (5) |
| 7.4.9 | PII-overføringskontroller | Artikkel (5) |
Hvordan ISMS.online hjelper
ISMS.online-plattformen tilbyr integrert assistanse på alle trinn, og vår 'Adopter, Adapt, Add' implementeringstilnærming til ISO 27701, for å gjøre prosessen mye enklere.
Du vil også dra nytte av en rekke tidsbesparende funksjoner.
Hvis du av en eller annen grunn opplever mangel på selvtillit, evne eller vilje til å handle under reisen din til ISO 27701, kan vi gjøre vårt team av interne eksperter tilgjengelig.
Finn ut mer av bestille en demo.
