So weisen Sie die Einhaltung von Artikel 28 der DSGVO nach

Britische DSGVO-Version

Prozessor

1. Wenn die Verarbeitung im Auftrag eines Verantwortlichen durchgeführt werden soll, darf der Verantwortliche nur Auftragsverarbeiter einsetzen, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, sodass die Verarbeitung den Anforderungen dieser Verordnung entspricht und den Schutz der Rechte von gewährleistet die betroffene Person.
2. Der Auftragsverarbeiter darf ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen anderen Auftragsverarbeiter beauftragen. Im Falle einer allgemeinen schriftlichen Ermächtigung hat der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzunahme oder Ersetzung anderer Auftragsverarbeiter zu informieren und ihm dabei die Möglichkeit zu geben, diesen Änderungen zu widersprechen.
3. Die Verarbeitung durch einen Auftragsverarbeiter wird durch einen Vertrag oder einen anderen Rechtsakt nach innerstaatlichem Recht geregelt, der für den Auftragsverarbeiter gegenüber dem Verantwortlichen bindend ist und den Gegenstand und die Dauer der Verarbeitung sowie die Art und den Zweck der Verarbeitung festlegt , die Art der personenbezogenen Daten und Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen. In diesem Vertrag oder sonstigen Rechtsakt ist insbesondere festzulegen, dass der Auftragsverarbeiter:
• (a) verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist durch nationales Recht, dem der Auftragsverarbeiter unterliegt, erforderlich; In einem solchen Fall muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, dieses Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
• (b) stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
• (c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift.
• (d) respektiert die in den Absätzen 2 und 4 genannten Bedingungen für die Beauftragung eines anderen Auftragsverarbeiters.
• (e) Unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, um der Verpflichtung des Verantwortlichen nachzukommen, auf Anfragen zur Ausübung der in Kapitel III festgelegten Rechte der betroffenen Person zu reagieren .
• (f) Unterstützt den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
• (g) Er löscht nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie nach Beendigung der Erbringung der mit der Verarbeitung verbundenen Dienstleistungen an den Verantwortlichen zurück und löscht vorhandene Kopien, es sei denn, das innerstaatliche Recht schreibt die Speicherung personenbezogener Daten vor.
• (h) Stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem Artikel festgelegten Verpflichtungen nachzuweisen und Audits, einschließlich Inspektionen, zu ermöglichen und dazu beizutragen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden.
   
  Im Hinblick auf Unterabsatz 1 Buchstabe h muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren, wenn seiner Ansicht nach eine Weisung gegen diese Verordnung oder andere innerstaatliche Rechtsvorschriften im Zusammenhang mit Datenschutzpflichten verstößt.
4. Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Verantwortlichen beauftragt, gelten für diesen die gleichen Datenschutzverpflichtungen, die im Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind anderen Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsakts nach innerstaatlichem Recht, insbesondere durch Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung den Anforderungen dieser Verordnung entspricht. Kommt dieser andere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen in vollem Umfang für die Erfüllung der Pflichten dieses anderen Auftragsverarbeiters haftbar.
5. Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Element zum Nachweis ausreichender Garantien gemäß den Absätzen 1 und 4 dieses Artikels herangezogen werden .
6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder der andere in den Absätzen 3 und 4 dieses Artikels genannte Rechtsakt ganz oder teilweise auf den in Absatz 8 genannten Standardvertragsklauseln basieren dieses Artikels, auch wenn sie Teil einer Zertifizierung sind, die dem Verantwortlichen oder Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilt wird.
7. Der Kommissar kann Standardvertragsklauseln für die in den Absätzen 3 und 4 dieses Artikels genannten Angelegenheiten erlassen.
8. Der Vertrag oder der sonstige in den Absätzen 3 und 4 genannte Rechtsakt bedarf der Schriftform, auch in elektronischer Form.
9. Unbeschadet der Artikel 82, 83 und 84 gilt: Wenn ein Auftragsverarbeiter gegen diese Verordnung verstößt, indem er die Zwecke und Mittel der Verarbeitung festlegt, gilt der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher.

Technischer Kommentar

Artikel 28 der DSGVO befasst sich mit acht Bestandteilen, die regeln, wie Datenverarbeitungstätigkeiten an Drittanbieter ausgelagert werden dürfen:

1. Die Mindestanforderungen, die für die Nutzung eines Dienstleisters erforderlich sind.
2. Weitere Einbindung anderer Auftragsverarbeiter, sobald der Dienstleister damit beauftragt wurde.
3. Die Notwendigkeit eines rechtsverbindlichen, schriftlichen Vertrags.
4. Unterverarbeitung (Unterauftragsvergabe).
5. Verhaltensregeln.
6. Vertragsklauseln.
7. Formularanforderungen.
8. Rechtsfolgen bei Vertragsbruch.

ISO 27701 Abschnitt 5.2.1 (Die Organisation und ihren Kontext verstehen) und EU-DSGVO Artikel 28

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 28 (10), 28 (5) und 28 (6).

Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.

Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.

Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.

Dies beinhaltet:

1. Überprüfung aller geltenden Datenschutzgesetze, -vorschriften oder „gerichtlichen Entscheidungen“.
2. Berücksichtigung der einzigartigen Anforderungen der Organisation in Bezug auf die Art der von ihr verkauften Produkte und Dienstleistungen sowie unternehmensspezifischer Governance-Dokumente, Richtlinien und Verfahren.
3. Alle administrativen Faktoren, einschließlich des Tagesgeschäfts des Unternehmens.
4. Vereinbarungen oder Dienstleistungsverträge mit Dritten, die möglicherweise Auswirkungen auf personenbezogene Daten und den Schutz der Privatsphäre haben.

ISO 27701 Klausel 6.12.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen) und EU-DSGVO Artikel 28

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3). )(e), (3)(f), (3)(g) und (3)(h)

Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.

Dabei sollten Organisationen:

• Bieten Sie eine klare Beschreibung an, in der detailliert beschrieben wird, auf welche Datenschutzinformationen zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
• Klassifizieren Sie die Datenschutzinformationen, auf die zugegriffen werden soll, gemäß einem anerkannten Klassifizierungsschema (siehe ISO 27002 Kontrollen 5.10, 5.12 und 5.13).
• Berücksichtigen Sie angemessen das eigene Klassifizierungssystem des Lieferanten.
• Kategorisieren Sie Rechte in vier Hauptbereiche – gesetzlich, gesetzlich, behördlich und vertraglich – mit einer detaillierten Beschreibung der Pflichten pro Bereich.
• Stellen Sie sicher, dass jede Partei verpflichtet ist, eine Reihe von Kontrollen einzuführen, mit denen die Risikostufen für die Sicherheit von Datenschutzinformationen überwacht, bewertet und verwaltet werden.
• Erläutern Sie die Notwendigkeit, dass Lieferantenpersonal die Informationssicherheitsstandards einer Organisation einhalten muss (siehe ISO 27002 Control 5.20).
• Ermöglichen Sie ein klares Verständnis darüber, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
• Setzen Sie Autorisierungskontrollen ein, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Datenschutzinformationen einer Organisation zuzugreifen oder diese anzuzeigen.
• Berücksichtigen Sie, was im Falle einer Vertragsverletzung oder der Nichteinhaltung einzelner Bestimmungen geschieht.
• Skizzieren Sie ein Vorfallmanagementverfahren, einschließlich der Art und Weise, wie wichtige Ereignisse kommuniziert werden.
• Stellen Sie sicher, dass das Personal eine Schulung zum Sicherheitsbewusstsein erhält.
• (Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen) fügen Sie Anforderungen hinzu, um sicherzustellen, dass Subunternehmer denselben Sicherheitsstandards für Datenschutzinformationen unterliegen wie der Lieferant.
• Überlegen Sie, wie Lieferantenpersonal überprüft wird, bevor es mit Datenschutzinformationen interagiert.
• Legen Sie die Notwendigkeit von Bescheinigungen Dritter fest, die die Fähigkeit des Lieferanten belegen, die organisatorischen Datenschutzanforderungen an die Informationssicherheit zu erfüllen.
• Sie haben das vertragliche Recht, die Verfahren eines Lieferanten zu prüfen.
• Fordern Sie Lieferanten auf, Berichte vorzulegen, in denen die Wirksamkeit ihrer eigenen Prozesse und Verfahren detailliert beschrieben wird.
• Konzentrieren Sie sich darauf, Maßnahmen zu ergreifen, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte zu erreichen.
• Stellen Sie sicher, dass Lieferanten mit einer angemessenen BUDR-Richtlinie arbeiten, um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu schützen.
• Fordern Sie eine Änderungsmanagementrichtlinie auf Lieferantenseite an, die die Organisation über alle Änderungen informiert, die möglicherweise Auswirkungen auf den Datenschutz haben.
• Implementieren Sie physische Sicherheitskontrollen, die proportional zur Sensibilität der gespeicherten und verarbeiteten Daten sind.
• (Wo Daten übertragen werden sollen) Bitten Sie Lieferanten, sicherzustellen, dass Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
• Erstellen Sie eine Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen.
• Bitten Sie den Lieferanten, darzulegen, wie er die Datenschutzinformationen nach der Kündigung vernichten will oder ob die Daten nicht mehr benötigt werden.
• Ergreifen Sie Maßnahmen, um eine minimale Betriebsunterbrechung während der Übergabezeit sicherzustellen.

Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Abschnitt 6.15.1.1 (Identifizierung der anwendbaren Rechtsvorschriften und vertraglichen Anforderungen) und EU-DSGVO Artikel 28

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3). )(f), (3)(g) und (3)(h)

Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:

1. Ausarbeitung und/oder Änderung von Datenschutzverfahren zur Informationssicherheit.
2. Informationen kategorisieren.
3. Durchführung von Risikobewertungen im Zusammenhang mit Datenschutz- und Informationssicherheitsaktivitäten.
4. Aufbau von Lieferantenbeziehungen, einschließlich etwaiger vertraglicher Verpflichtungen entlang der gesamten Lieferkette.

Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren und verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.

Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.

Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:

• Beachten Sie alle Gesetze, die den Import und Export von Hardware oder Software regeln, die das Potenzial haben, eine kryptografische Funktion zu erfüllen.
• Bereitstellung des Zugriffs auf verschlüsselte Informationen gemäß den Gesetzen der Gerichtsbarkeit, in der sie tätig sind.
• Nutzen Sie drei Schlüsselelemente der Verschlüsselung:
1. Digitale Signaturen.
2. Dichtungen.
3. Digitale Zertifikate.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.20

ISO 27701 Klausel 7.2.6 (Verträge mit PII-Verarbeitern) und EU-DSGVO Artikel 28(3)(e) und 28(9)

Organisationen müssen die Einzelheiten jeder gemeinsamen PII-Verarbeitungsvereinbarung mit einem begleitenden PII-Controller darlegen – dazu gehören allgemeine Schutzmaßnahmen und alle damit verbundenen Sicherheitsanforderungen.

Rollen und Verantwortlichkeiten müssen klar und eindeutig sein und in einem rechtsverbindlichen Dokument (manchmal auch „Datenfreigabevereinbarung“ genannt) dargelegt werden.

Vereinbarungen können (neben anderen Maßnahmen) Folgendes umfassen:

• Warum personenbezogene Daten weitergegeben werden.
• Datenkategorien.
• Ein allgemeiner Überblick über den PII-Verarbeitungsvorgang.
• Alle relevanten Rollen und Verantwortlichkeiten.
• Wie die Sicherheit von Datenschutzinformationen geregelt werden soll.
• Welche Maßnahmen sind im Falle einer Datenschutzverletzung zu ergreifen?
• Wie PII aufbewahrt und vernichtet werden sollen, wenn sie nicht mehr benötigt werden.
• Was passiert, wenn eine der Parteien gegen eine Vereinbarung verstößt?
• Was sind die Pflichten beider Parteien gegenüber PII-Auftraggebern?
• Welche Mechanismen sind vorhanden, um PII-Auftraggebern relevante Einzelheiten der gemeinsamen Vereinbarung zur Verfügung zu stellen?
• Wie PII-Direktoren offizielle Anfragen stellen können und wie sie eine Antwort formulieren und übermitteln.
• Ansprechpartner – sowohl intern als auch für PII-Auftraggeber.

ISO 27701 Klausel 8.2.1 (Kundenvereinbarung) und EU-DSGVO Artikel 28

In diesem Abschnitt sprechen wir über die Artikel 28 (3)(e) und 28 (3)(f) sowie 28 (9) der DSGVO.

Kundenverträge sollten Folgendes enthalten:

• Das Konzept des „Privacy by Design“ (siehe ISO 27701 Abschnitte 7.4 und 8.4).
• Wie die Organisation die Sicherheit der Verarbeitung erreichen will.
• Wie Verstöße zu melden sind, einschließlich Kunden, Auftraggebern und Aufsichtsbehörden.
• Ultraschall Datenschutzfolgenabschätzungen sind zu bewältigen.
• Bestätigung der Absicht der Organisation, den PII-Schutzbehörden Unterstützung zu leisten.

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701 Abschnitt 8.2.2 (Zwecke der Organisation) und EU-DSGVO Artikel 28 (3)(a)

Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.

Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.

ISO 27701 Klausel 8.2.4 (Anweisungen zu Verstößen) und EU-DSGVO Artikel 28 (3)(h)

Organisationen müssen ein umfassendes Arbeitsverständnis darüber haben, wie Anweisungen möglicherweise mit geltenden Gesetzen oder behördlichen Verpflichtungen in Konflikt geraten können.

Verstöße treten in der Regel im Zusammenhang mit drei Faktoren auf.

1. Wie Technologie genutzt wird.
2. Die Prämisse der Anweisung.
3. Eventuelle vertragliche Verpflichtungen.

ISO 27701 Klausel 8.2.5 (Kundenpflichten) und EU-DSGVO Artikel 28 (3)(h)

Organisationen müssen in der Lage sein, ihren Kunden ausreichende Informationen zur Verfügung zu stellen, damit diese jederzeit in der Lage sind, ihren Verpflichtungen nachzukommen.

Die erforderlichen Informationen können ein breites Spektrum an Funktionen umfassen, beziehen sich jedoch in der Regel auf interne Audits und die Rolle der Organisation, diese durch die Bereitstellung von Informationen zu erleichtern.

ISO 27701 Klausel 8.3.1 (Verpflichtungen gegenüber PII-Auftraggebern) und EU-DSGVO Artikel 28 (3)(h)

Die Pflichten der Verantwortlichen werden durch drei Faktoren bestimmt:

1. Gesetzgebung.
2. Verordnung.
3. Verträge.

Verträge sollten alle enthalten Information or technischer Betrieb die es der Organisation ermöglichen, ihren Pflichten als Verantwortlicher nachzukommen.

ISO 27701 Klausel 8.4.2 (Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten) und EU-DSGVO Artikel 28 (3)(g)

Es gibt verschiedene Szenarien, die die Entsorgung personenbezogener Daten erfordern, darunter (aber nicht beschränkt auf):

• Rückgabe aller personenbezogenen Daten an den Kunden.
• Bereitstellung der PII an eine andere Organisation.
• Informationen zerstören.
• De-Identifikation.
• Archivierung.

Organisationen müssen kategorisch zusichern, dass nicht mehr benötigte personenbezogene Daten gemäß den geltenden Gesetzen oder regionalen Richtlinien vernichtet werden.

Alle Entsorgungsrichtlinien sollten dem Kunden auf Anfrage zur Verfügung stehen und den Zeitraum abdecken, den Unternehmen nach Beendigung eines Vertrags zur Vernichtung personenbezogener Daten benötigen.

ISO 27701 Klausel 8.5.4 (Benachrichtigung über PII-Offenlegungsanfragen) und EU-DSGVO Artikel 28 (3)(a)

Organisationen sollten ein Verfahren entwerfen, das regelt, wie PII-Auftraggeber über rechtsverbindliche Informationsanfragen Dritter informiert werden, einschließlich eines angemessenen Zeitrahmens und einer vertraglichen Vereinbarung, die den gesamten Prozess umreißt.

Organisationen müssen es vor allem tun den Aufforderungen der Strafverfolgungsbehörden nachzukommen, die das Recht haben, zu verlangen, dass der Kunde nicht über eine Anfrage informiert wird, und sicherzustellen, dass sie nicht gegen Gesetze verstoßen, indem sie den Kunden versehentlich oder vorsätzlich über die Situation informieren.

ISO 27701 Klausel 8.5.6 (Offenlegung von Subunternehmern, die zur Verarbeitung personenbezogener Daten eingesetzt werden) und EU-DSGVO Artikel 28 (2) und (28)(4)

Alle Bestimmungen für den Einsatz von Subunternehmern sollten als solche im SLA/Kundenvertrag aufgeführt sein.

Informationen zu Subunternehmern sollten Folgendes umfassen:

• Der Name des Subunternehmers.
• Alle Länder, in die der Subunternehmer Daten übertragen kann (siehe ISO 27701 Abschnitt 8.5.2), damit der Kunde alle PII-Auftraggeber informieren kann.
• Wie vom Subunternehmer erwartet wird, dass er die Anforderungen der Organisation erfüllt (siehe ISO 27701 Abschnitt 8.5.7).

NDAs sollten so gestaltet werden, dass alle Informationen offengelegt werden, deren öffentliche Offenlegung ein erhöhtes Sicherheitsrisiko darstellen würde.

Unterstützende ISO 27701-Klauseln

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 Klausel 8.5.7 (Beauftragung eines Unterauftragnehmers mit der Verarbeitung personenbezogener Daten) und EU-DSGVO Artikel 28 (2) und 28 (3)(d)

Organisationen müssen die schriftliche Genehmigung ihrer Kunden einholen, bevor personenbezogene Daten von einer Drittorganisation verarbeitet werden.

Subunternehmer sollten einer verbindlichen Vereinbarung (normalerweise in Form eines schriftlichen Vertrags) unterliegen, die sicherstellt, dass Subunternehmer ihre Pflichten zur Umsetzung der in ISO 27701 Anhang B aufgeführten Kontrollen verstehen.

Verträge sollten verschiedene Risikobewertungsprozesse (siehe ISO 27701 Abschnitt 5.4.1.2) und den gesamten Umfang des PII-Verarbeitungsvorgangs der Organisation (siehe ISO 27701 Abschnitt 6.12) berücksichtigen. Wie oben sollten alle in Anhang B aufgeführten Kontrollen eingehalten werden, wobei etwaige Auslassungen zusammen mit den Begründungen dafür aufgeführt werden sollten.

Unterstützende ISO 27701-Klauseln

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701 Klausel 8.4 (Wechsel des Unterauftragnehmers zur Verarbeitung personenbezogener Daten) und EU-DSGVO DSGVO Artikel 28 (2)

Wenn die Notwendigkeit besteht, die Art und Weise zu ändern, in der die Organisation Elemente ihrer PII-Verarbeitung auslagert, sollten Kunden rechtzeitig über die Änderungen informiert werden, um ihnen Zeit zu geben, diese Änderungen in Frage zu stellen oder Einwände dagegen zu erheben.

Verträge sollten Klauseln enthalten, die eine schriftliche Genehmigung des Kunden zur Durchführung der Änderung vorsehen, bevor personenbezogene Daten verarbeitet werden.

Organisationen können die Genehmigung für Änderungen auch im Rahmen schriftlicher Ad-hoc-Vereinbarungen außerhalb etwaiger Vertragsbedingungen einholen.

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

Wie ISMS.online hilft

Gebaut nach ISO 27701, abgestimmt auf andere Vorschriften.

Mit ISO 27701 können Sie ein Datenschutzinformationsmanagementsystem erstellen, das den meisten Datenschutzbestimmungen entspricht. Dazu gehört auch die EU Allgemeine Datenschutzverordnung, BS 10012 und Südafrikas POPIA.

Mit unserer vereinfachten, sicheren und nachhaltigen Software können Sie den internationalen Standard problemlos befolgen.

Die von uns bereitgestellte All-in-One-Plattform stellt sicher, dass Ihre Datenschutzarbeit mit ISO 27701 übereinstimmt und deren Anforderungen erfüllt.

Erfahren Sie mehr von Buchen Sie eine kurze 30-minütige Demo.