ISO 27701 Abschnitt 5.2 verstehen: Kontext der Organisation
Datenschutz ist ein kompliziertes Gesetzgebungsthema, das außergerichtliche und gerichtliche Leitlinien aus einer Vielzahl von Quellen umfasst.
Bei der gesamten Reihe von Kontrollen berücksichtigt die ISO stets die besonderen kommerziellen, datenschutzbezogenen und logistischen Anforderungen jeder Organisation, die sich mit personenbezogenen Daten befasst.
ISO 27701 5.2 umfasst eine Reihe von Mapping-Übungen für Organisationen, die ihre Verpflichtungen gegenüber internen und externen Mitarbeitern sowie die Art und Weise, wie sie mit Drittorganisationen interagieren, verstehen möchten Compliance und PII-Perspektive.
Was in ISO 27701 Abschnitt 5.2 behandelt wird
ISO 27701 5.2 enthält vier Unterabschnitte, die sich auf den Schutz der Privatsphäre und die Verarbeitung/Kontrolle personenbezogener Daten beziehen. Jede davon entspricht einer verknüpften Klausel in ISO 27001 (die als übergeordnetes Leitdokument fungiert)..
Darüber hinaus enthält ISO 27701 zusätzliche Orientierungspunkte für Organisationen, die ein PIMS implementieren möchten, mit Hinweisen zur Anwendung sowohl der ISO 27701- als auch der ISO 27001-Richtlinien auf dieses spezielle Thema.
Organisationen müssen ISO 27701 zusammen mit den darin enthaltenen Artikeln einsehen und umsetzen Datenschutz Richtlinien. Wo zutreffend, haben wir die relevanten DSGVO-Artikel zusammen mit den dazugehörigen Unterabschnitten hervorgehoben.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 5.2.1 – Die Organisation und ihren Kontext verstehen
Referenzen ISO 27001-Steuerung 4.1
Organisationen müssen sich einem Mapping unterziehen, das sowohl interne als auch externe Faktoren im Zusammenhang mit der Implementierung eines PIMS auflistet.
Die Organisation muss in der Lage sein, zu verstehen, wie sie ihre Datenschutzergebnisse erreichen will, und alle Probleme, die dem Schutz personenbezogener Daten im Wege stehen, sollten identifiziert und angegangen werden.
Zusätzliche PIMS- und PII-Anleitungen
Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.
Das beinhaltet:
- Überprüfung aller geltenden Datenschutzgesetze, -vorschriften oder „gerichtlichen Entscheidungen“;
- Berücksichtigung der einzigartigen Anforderungen der Organisation in Bezug auf die Art der von ihr verkauften Produkte und Dienstleistungen sowie unternehmensspezifischer Governance-Dokumente, Richtlinien und Verfahren;
- Alle administrativen Faktoren, einschließlich des Tagesgeschäfts des Unternehmens;
- Vereinbarungen oder Dienstleistungsverträge mit Dritten, die möglicherweise Auswirkungen auf personenbezogene Daten und den Schutz der Privatsphäre haben.
Anwendbare DSGVO-Artikel
- Artikel 24 – Verantwortung des Verantwortlichen
- Anwendbarer Abschnitt – (3)
- Artikel 25 – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Anwendbarer Abschnitt – (3)
- Artikel 28 – Auftragsverarbeiter
- Anwendbare Abschnitte – (5), (6), (10)
- Artikel 32 – Sicherheit der Verarbeitung
- Anwendbarer Abschnitt – (2)
- Artikel 40 – Verhaltenskodizes
- Anwendbare Abschnitte – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artikel 41 – Überwachung genehmigter Verhaltenskodizes
- Anwendbare Abschnitte – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artikel 42 – Zertifizierung
- Anwendbare Abschnitte – (1), (2), (3), (4), (5), (6), (7), (8)
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 5.2.2 – Verständnis der Bedürfnisse und Erwartungen interessierter Parteien
Referenzen ISO 27001-Steuerung 4.2
Der Schutz personenbezogener Daten und der Privatsphäre kann sich sowohl intern als auch extern auf eine große Anzahl von Mitarbeitern, Benutzern und Kunden auswirken.
Organisationen müssen ein klares Verständnis für die Bedürfnisse des betroffenen Personals und dessen, was ISO als „interessierte Parteien“ betrachtet, erlangen.
Die Organisation muss Folgendes festlegen und dokumentieren:
- Alle „interessierten Parteien“, die für das umfassendere Thema Datenschutz relevant sind;
- Was sind die besonderen Anforderungen dieser Personen im Rahmen eines PIMS?
Organisationen sollten neben praktischen und betrieblichen Anforderungen auch alle gesetzlichen, behördlichen oder vertraglichen Verpflichtungen berücksichtigen.
Zusätzliche PIMS- und PII-Anleitungen
Bei der Implementierung eines PIMS müssen Organisationen eine Liste interessierter Parteien erstellen, die entweder von einem PIMS betroffen sind oder eine Rolle bei der Verarbeitung personenbezogener Daten spielen.
Wenn es um PII geht, könnte ein Interessent einer der folgenden sein (aber nicht beschränkt auf):
- Ein Angestellter;
- Ein Kunde;
- Regulierungs-, Justiz- oder Aufsichtsbehörden;
- Andere PII-Controller und -Prozessoren.
Es ist wichtig zu beachten, dass PII-Anforderungen – im Zusammenhang mit einem PIMS – oft aus einer Vielzahl von Quellen stammen, darunter:
- Interne Prozesse und Ziele;
- Regierungs- und/oder Regulierungsbehörden;
- Vertragliche Verpflichtungen gegenüber Drittorganisationen.
Für Regierungs- und Regulierungsorganisationen kann es oft schwierig sein, die Einhaltung veröffentlichter Datenschutzstandards seitens einer Organisation in ihrer Rolle als PII-Verarbeiter und Verantwortlicher zu bestätigen.
Daher müssen Organisationen von diesen Gremien erwarten, dass sie unabhängige Überprüfungen aller relevanten Managementsysteme fordern, um ihre eigenen Prüfungsanforderungen zu erfüllen.
Anwendbare DSGVO-Artikel
- Artikel 31 – Zusammenarbeit mit der Aufsichtsbehörde
- Artikel 35 – Datenschutz-Folgenabschätzung
- Anwendbarer Abschnitt – (9)
- Artikel 36 – Vorherige Konsultation
- Anwendbare Abschnitte – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 5.2.3 – Bestimmung des Umfangs des Informationssicherheits-Managementsystems
Referenzen ISO 27001-Steuerung 4.3
ISO empfiehlt eine gründliche Scoping-Übung, damit Unternehmen in der Lage sind, ein PIMS zu erstellen, das erstens ihre Datenschutzanforderungen erfüllt und zweitens nicht in Bereiche des Unternehmens eindringt, die keiner Aufmerksamkeit bedürfen.
Organisationen sollten Folgendes festlegen und dokumentieren:
- Alle externen oder internen Probleme, wie in ISO 27001 4.1 beschrieben;
- Anforderungen Dritter gemäß ISO 27001 4.2;
- Wie die Organisation sowohl mit sich selbst als auch mit externen Stellen interagiert (z. B. Kundenkontaktpunkte, IKT-Schnittstellen).
Zusätzliche PIMS- und PII-Anleitungen
Alle Scoping-Übungen, die eine PIMS-Implementierung abbilden, sollten eine gründliche Bewertung der PII-Verarbeitungs- und Speicheraktivitäten umfassen.
Anwendbare DSGVO-Artikel
- Artikel 32 – Sicherheit der Verarbeitung
- Anwendbarer Abschnitt – (2)
ISO 27701 Abschnitt 5.2.4 – Informationssicherheits-Managementsystem
Referenzen ISO 27001-Steuerung 4.4
Organisationen sollten versuchen, ein PIMS im Einklang mit veröffentlichten ISO-Standards zu implementieren, zu verwalten und zu optimieren.
Anwendbare DSGVO-Artikel
- Artikel 32 – Sicherheit der Verarbeitung
- Anwendbarer Abschnitt – (2)
Unterstützende Kontrollen von ISO 27001 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27001-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 5.2.1 | Die Organisation und ihren Kontext verstehen |
4.1 – Verständnis der Organisation und ihres Kontexts für ISO 27001 |
Artikel (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Verstehen der Bedürfnisse und Erwartungen interessierter Parteien |
4.2 – Verständnis der Bedürfnisse und Erwartungen interessierter Parteien für ISO 27001 |
Artikel (31), (35), (36) |
| 5.2.3 | Bestimmung des Umfangs des Informationssicherheits-Managementsystems |
4.3 – Bestimmung des Umfangs des ISMS für ISO 27001 |
Artikel (32) |
| 5.2.4 | Informationssicherheits-Managementsystem |
4.4 – Informationssicherheits-Managementsystem (ISMS) für ISO 27001 |
Artikel (32) |
So erreichen Sie die ISO 27701-Konformität mit ISMS.online
Die ISMS.online-Plattform bietet eine anpassbare PIMS-Funktion, die auf Knopfdruck sowohl ISO 27001 als auch ISO 27701 überwacht, Berichte erstellt und prüft.
Unsere Lösung verfügt über ein dynamisches Tool zur Aufzeichnung von Verarbeitungsaktivitäten, das die mit der Datenzuordnung, Datenaufzeichnung und Prüfung verbundenen Probleme beseitigt, mit einer integrierten Risikobank, die während des gesamten Bewertungs- und Managementprozesses praktische Unterstützung bietet.
ISO 27701 5.2 bietet eine Reihe von Leitlinien zu Datenschutzstandards Dritter und der Beziehung zwischen einem PII-Verantwortlichen und einer betroffenen Person über einen vorgeschriebenen Antrag auf Rechte von Datensubjekten (Data Subjects Rights Request, DRR). Unser DRR-Managementsystem bietet einen zentralen Verwaltungsknotenpunkt, der sich um alles kümmert, von Anfragen bis hin zu Berichten und Analysen.
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27001- und 27701-Zertifizierung sparen Nutzung von ISMS.online durch Buchung einer Demo.
