ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 8.5: PII-deling, overføring og avsløring
ISO 27701 klausul 8.5 skisserer en organisasjons mål når PII er satt til å bli overført til eller avslørt til andre land, organisasjoner og underleverandører.
ISO 27701 klausul 8.5.1 – PII-deling, overføring og avsløring
Hensikten med punkt 8.5.1
Når PII skal overføres mellom jurisdiksjoner, må organisasjoner informere kunden om det underliggende behovet for å gjøre det, i tide.
Veiledning om punkt 8.5.1
PII-overføringsbestemmelser kan variere fra region til region, avhengig av hvor dataene overføres til og fra.
Overføringsdestinasjoner kan omfatte:
- Leverandører.
- Tredjeparter.
- Forskjellige land.
- Internasjonale organisasjoner.
Organisasjoner bør gi kunden tilstrekkelig varsel om eventuelle overføringer, slik at innvendinger kan reises og, under visse omstendigheter, kan oppsigelsesforespørsler fremsettes.
Organisasjoner trenger ikke alltid å informere kundene om endringer i dataoverføringsordningene deres, men kontrakter bør tydelig angi omstendighetene der de trenger å gi forhåndsvarsel.
Når organisasjoner overfører PII til et annet land, bør organisasjoner vurdere offisielle mekanismer, for eksempel:
- Modellkontraktsklausuler.
- Bindende bedriftsregler.
- Personvernregler på tvers av landegrensene.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 8.5.2 – Land og internasjonale organisasjoner som PII kan overføres til
Hensikten med punkt 8.5.2
Organisasjoner bør føre en nøyaktig, oppdatert liste over alle land eller organisasjoner der PII har potensial til å bli overført til.
Veiledning om punkt 8.5.2
Kunder bør kunne se en liste over potensielle mottakerland og organisasjoner til enhver tid, inkludert en logg over alle land som er involvert i PII-underleverandører (se ISO 27701 paragraf 8.5.1).
Under visse omstendigheter vil ikke organisasjoner alltid være i stand til å avsløre på forhånd hvor overføringsforespørsler stammer fra – særlig når det gjelder straffesaker. Dette er uunngåelig, og det bør være organisasjonens prioritet å opprettholde integriteten til en rettshåndhevelsesoperasjon (se ISO 27701 klausuler 7.5.1, 8.5.4 og 8.5.5).
Relevante ISO 27701-klausuler
- ISO 27701
- ISO 27701
- ISO 27701
- ISO 27701
ISO 27701 klausul 8.5.3 – Registreringer av PII-avsløring til tredjeparter
Hensikten med punkt 8.5.3
Organisasjoner bør omhyggelig registrere alle tilfeller der de trenger å avsløre PII til en tredjepart.
Veiledning om punkt 8.5.3
Når PII avsløres – enten som en del av standard forretningsrutiner eller under spesielle omstendigheter, for eksempel en pågående juridisk eller regulatorisk prosess – bør organisasjoner registrere hva som er avslørt, mottakeren og den underliggende årsaken til dette.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 8.5.4 – Varsling om forespørsler om PII-avsløring
Hensikten med punkt 8.5.4
Når det sendes en juridisk bindende forespørsel til organisasjonen om å avsløre PII, der det er tillatt, bør organisasjonen informere PII-rektor om forespørselen.
Veiledning om punkt 8.5.4
Organisasjoner bør utarbeide en prosedyre som styrer hvordan PII-oppdragsgivere blir varslet om juridisk bindende tredjepartsforespørsler om deres informasjon, inkludert en rimelig tidsramme og en kontraktsbestemmelse som skisserer hele prosessen.
Fremfor alt må organisasjoner etterkomme forespørsler fra rettshåndhevelsesbyråer, som har rett til å be om at kunden ikke blir varslet om noen forespørsel, og sikre at de ikke bryter noen lover ved utilsiktet eller med vilje å informere kunden om situasjonen.
ISO 27701 klausul 8.5.5 – Juridisk bindende PII-avsløringer
Hensikten med punkt 8.5.5
Organisasjoner bør umiddelbart protestere mot enhver forespørsel om offentliggjøring av PII som er i strid med gjeldende datasikkerhetslover, eller som på noen måte ikke er juridisk bindende.
PII-rektorer bør konsulteres før organisasjonen avslører PII-relatert informasjon, og organisasjoner bør overholde kontraktsvilkår som skisserer hvilke avsløringer som er tillatt, fra kundens perspektiv.
Veiledning om punkt 8.5.5
Kontrakter må være spesifikke i det de anser som en lovlig forespørsel, i tillegg til alle som er autorisert av kunden, inkludert de som stammer fra:
- Domstoler.
- Arbeidsdomstoler.
- Arbeidskonflikter.
- Regulerende/forvaltningsmyndigheter.
ISO 27701 klausul 8.5.6 – Juridisk bindende PII-avsløringer
Hensikten med punkt 8.5.6
Før organisasjonen tar kontakt med noen underleverandører som er pålagt å behandle PII, bør organisasjonen avsløre detaljene om forholdet først, før de lar underleverandøren utføre sine oppgaver.
Veiledning om punkt 8.5.6
Alle bestemmelser for bruk av underleverandører bør være oppført som sådan i SLA/kundekontrakten.
Informasjon om underleverandører bør omfatte:
- Underleverandørens navn.
- Eventuelle land som underleverandøren kan overføre data til (se ISO 27701 punkt 8.5.2), slik at kunden kan informere eventuelle PII-oppdragsgivere.
- Hvordan underleverandøren forventes å møte behovene til organisasjonen (se ISO 27701 punkt 8.5.7).
NDAer bør utarbeides for å avsløre all informasjon som vil representere en økt sikkerhetsrisiko hvis den blir offentlig eksponert.
Relevante ISO 27701-klausuler
- ISO 27701
- ISO 27701
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 8.5.7 – Engasjement av en underleverandør til å behandle PII
Hensikten med punkt 8.5.7
Den eneste gangen det er akseptabelt å legge ut PII-behandlingsaktiviteter på underleverandører, er sammen med bestemmelsene i en kontraktsavtale.
Veiledning om punkt 8.5.7
Organisasjoner må innhente skriftlig godkjenning fra kundene sine før PII behandles av en tredjepartsorganisasjon.
Underleverandører bør være underlagt en bindende avtale (vanligvis i form av en skriftlig kontrakt), som sikrer at underleverandører forstår deres forpliktelser til å implementere kontrollene som er oppført i ISO 27701 vedlegg B.
Kontrakter bør ta hensyn til ulike risikovurderingsprosesser (se ISO 27701 klausul 5.4.1.2), og hele omfanget av organisasjonens PII-behandlingsoperasjon (se ISO 27701 klausul 6.12). Som ovenfor, bør alle kontroller oppført i vedlegg B følges, med eventuelle utelatelser oppført, sammen med begrunnelsen for å gjøre det.
Relevante ISO 27701-klausuler
- ISO 27701
- ISO 27701
ISO 27701 klausul 8.5.8 – Endring av underleverandør til prosess PII
Hensikten med punkt 8.5.8
Når det oppstår behov for å endre måten organisasjonen outsourcer noen del av sin PII-behandling på, bør kundene informeres om endringene i god tid for å gi dem tid til å stille spørsmål ved eller protestere mot nevnte endringer.
Veiledning om punkt 8.5.8
Kontrakter bør inneholde klausuler som gir skriftlig tillatelse fra kunden til å gå videre med endringen, før noen PII behandles.
Organisasjoner kan også søke godkjenning for endringer innenfor skriftlige ad hoc-avtaler, utenom eventuelle kontraktsmessige vilkår.
Støtte GDPR-artikler
Ulike elementer i ISO 27701 klausul 8.5 er gjeldende i Storbritannia GDPR lovgivning. Ta en titt på tabellen nedenfor for de tilsvarende referansene.
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | Tilknyttede GDPR-artikler |
|---|---|---|
| 8.5.1 | Grunnlag for PII-overføring mellom jurisdiksjoner | Artikler (44), (46)(48) (49) |
| 8.5.2 | Land og internasjonale organisasjoner som PII kan overføres til | Artikkel (30) |
| 8.5.3 | Registreringer av PII-avsløring til tredjeparter | Artikkel (30) |
| 8.5.4 | Varsling om PII-avsløringsforespørsler | Artikkel (28) |
| 8.5.5 | Juridisk bindende PII-avsløringer | Artikkel (48) |
| 8.5.6 | Offentliggjøring av underleverandører som brukes til å behandle PII | Artikkel (28) |
| 8.5.7 | Engasjement av en underleverandør for å behandle PII | Artikkel (28) |
| 8.5.8 | Endring av underleverandør til prosess PII | Artikkel (28) |
Hvordan ISMS.online hjelper
Hos ISMS.online gjør vi det enklere for din organisasjon å dokumentere styringssystemet for personverninformasjon. Vi gir deg et logisk, brukbart, skybasert informasjonsadministrasjonsgrensesnitt som vil hjelpe organisasjonen din med å sjekke personvernprosessene og fremdriften mot ISO 27701 / PIMS-standarden.
Vår skybaserte plattform lar deg få tilgang til alle PIMS-ressursene dine på ett sted.
Du kan bruke vår brukervennlige plattform til å dokumentere alt du trenger for å vise at du oppfyller kravene i ISO 27701. Vår Assured Results Method (ARM) avmystifiserer kravene i ISO 27701 og gir deg selvtillit når du går videre mot å oppnå sertifisering.
Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei mot ISO 27701-sertifisering.
Finn ut mer av bestille en demo.
