ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 8.2: Vilkår for lovlig databehandling
Overholdelse av ISO 27701 paragraf 8.2 sikrer at organisasjoner handler lovlig når de samler inn og behandler PII, og er i tråd med gjeldende lover eller regulatoriske bestemmelser uansett hvor de behandler PII.
ISO 27701 klausul 8.2.1 – Kundeavtale
Hensikten med punkt 8.2.1
Det bør utarbeides kontrakter som omhandler behandling av PII som ivaretar organisasjonens behov for å yte bistand til kunden, og deres forpliktelser.
Veiledning om punkt 8.2.1
Kontrakter bør inneholde:
- Konseptet "privacy by design" (se ISO 27701 klausuler 7.4 og 8.4).
- Hvordan organisasjonen har til hensikt å oppnå sikkerhet ved behandling.
- Hvordan brudd skal rapporteres, inkludert kunde, oppdragsgivere og tilsynsmyndigheter.
- Hvordan personvernkonsekvensvurderinger skal håndteres.
- Bekreftelse av organisasjonens intensjon om å yte bistand til PII-beskyttelsesmyndigheter.
Relevante ISO 27701-klausuler
- ISO 27701
- ISO 27701
ISO 27701 klausul 8.2.2 – Organisasjonens formål
Hensikten med punkt 8.2.2
Fra begynnelsen skal PII kun behandles i henhold til kundens instruksjoner.
Veiledning om punkt 8.2.2
Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.
Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 8.2.3 – Markedsføring og annonseringsbruk
Hensikten med punkt 8.2.3
Organisasjoner må innhente tillatelse fra PII-prinsippet før de kan bruke data gitt til markedsførings- eller reklameformål, og sikre at aksept av slik bruk ikke er en forutsetning for at PII kan behandles.
Veiledning om punkt 8.2.3
Markedsførings- og reklamebestemmelser bør være tydelig dokumentert i alle kontrakter eller tjenesteavtaler, i tråd med formålet ovenfor.
Organisasjoner bør søke «uttrykkelig samtykke» som er basert på en transparent og oppdatert representasjon av hvordan PII skal brukes.
ISO 27701 klausul 8.2.4 – Krenkende instruks
Hensikten med punkt 8.2.4
Organisasjoner må være vokale om enhver behandlingsinstruks fra kunden som er i strid med lover eller forskrifter.
Veiledning om punkt 8.2.4
Organisasjoner må opprettholde en grundig arbeidsforståelse av hvordan instruksjoner kan komme i konflikt med gjeldende lovgivning eller regulatoriske forpliktelser.
Krenkelser forekommer vanligvis rundt tre faktorer.
- Hvordan teknologien brukes.
- Premisset for instruksjonen.
- Eventuelle kontraktsmessige forpliktelser.
ISO 27701 klausul 8.2.5 – Kundeforpliktelser
Hensikten med punkt 8.2.5
Organisasjoner må kunne gi sine kunder tilstrekkelig informasjon, slik at kundene til enhver tid kan oppfylle sine forpliktelser.
Veiledning om punkt 8.2.5
Den nødvendige informasjonen kan omfatte et bredt spekter av funksjoner, men er vanligvis knyttet til internrevisjoner, og organisasjonens rolle i å tilrettelegge for dem gjennom informasjonsforsyning.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 8.2.6 – Opptegnelser knyttet til behandling av PII
Hensikten med punkt 8.2.6
Organisasjoner bør føre nøyaktige og oppdaterte registre som gjør at de til enhver tid kan bevise overholdelse av eventuelle kontraktsmessige forpliktelser knyttet til behandlingen av PII.
Veiledning om punkt 8.2.6
Avhengig av jurisdiksjonen kan det være nødvendig å inkludere følgende:
- Kategoriske lister over behandling, på kunde-til-kunde-basis.
- Eventuelle dataoverføringer til andre land eller internasjonale organisasjoner.
- Tekniske sikkerhetskontroller.
Støtte GDPR-artikler
Ulike elementer i ISO 27701 klausul 8.2 er gjeldende i Storbritannia GDPR lovgivning. Ta en titt på tabellen nedenfor for de tilsvarende referansene.
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | Tilknyttede GDPR-artikler |
|---|---|---|
| 8.2.1 | Kundeavtale | Artikler (28), (35) |
| 8.2.2 | Organisasjonens formål | Artikler (5), (28), (29), (32) |
| 8.2.3 | Markedsføring og reklamebruk | Artikkel (7) |
| 8.2.4 | Krenkende instruks | Artikkel (28) |
| 8.2.5 | Kundens forpliktelser | Artikkel (28) |
| 8.2.6 | Oppføringer knyttet til behandling av PII | Artikkel (30) |
Hvordan ISMS.online hjelper
ISMS.online-plattformen tilbyr integrert assistanse på alle trinn, og vår 'Adopter, Adapt, Add' implementeringstilnærming til ISO 27701, for å gjøre prosessen mye enklere. Du vil også dra nytte av en rekke tidsbesparende funksjoner.
Vi gjør datakartlegging til en enkel oppgave. Det er enkelt å registrere og gjennomgå alt ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske verktøy for registreringer av behandlingsaktivitet.
Du må vise hvor godt du administrerer forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og støtter det med automatisert rapportering og innsikt.
Det er enkelt å sette opp og kjøre ulike typer personvernvurderinger, fra databeskyttelseskonsekvensvurderinger til regulatoriske eller overholdelsesberedskap.
Finn ut mer av bestille en demo.
