Der Nutzen von ISO 27701 und wie OneTrust Sie dabei unterstützen kann


ISO 27701 ist die Datenschutzerweiterung des beliebten Sicherheitsstandards ISO 27001, die zusätzliche datenschutzrechtlicher Vorschriften enthält. Die zunehmende Überschneidung zwischen Datenschutz und Sicherheit verlangt von den beiden zuständigen Teams immer mehr neue Wege der Zusammenarbeit, der effektiveren Kommunikation und der Nutzung gemeinsamer Tools. Für die Wartung und kontinuierliche Verbesserung eines Privacy Information Management System (PIMS) nach ISO 27701 (früher bekannt als „ISO 27552“) sowie für die Planung und Umsetzung globaler Datenschutzgesetze und Rahmenwerke ist Technologie erforderlich.

Entscheidungen des Privacy Information Management System (PIMS)

Die ISO 27701 umfasst eine Roadmap zur Ermittlung der internen und externen Angelegenheiten, die sich auf den Datenschutz auswirken könnten (einschließlich der Berücksichtigung der Interessen Dritter), um den Anwendungsbereich und Kontext zu bestimmen. Anschließend erfolgt die Erstellung der entsprechenden Richtlinien und Verfahren. Verwenden Sie die PIMS-Planungsvorlage nach ISO 27701 in OneTrust unterstützend für PIMS-Entscheidungen gemäß Abschnitt 5 der Norm ISO 27701, einschließlich der Bewertung Ihres Unternehmens und seines Kontexts, des Verständnisses der Bedürfnisse und Erwartungen von Beteiligten, der Bestimmung des Anwendungsbereichs des PIMS, der Identifizierung von Führungsrollen und -verantwortlichkeiten, der Festlegung und Verfolgung von Zielen, der Definition von Risikokriterien und mehr.

PIMS-Dokumentationen

Nach ISO 27701 müssen während der gesamten Lebensdauer des PIMS umfangreiche Dokumentationen erstellt, überprüft, aktualisiert und ordnungsgemäß kontrolliert werden. Diese Dokumentationen sind für die Wirksamkeit und kontinuierliche Verbesserung des PIMS sowie für die Erlangung und Aufrechterhaltung der Zertifizierung von entscheidender Bedeutung. Verwenden Sie das Dokumenten-Repository in OneTrust, um PIMS-Dokumentation an einem zentralen Ort zu speichern und zu organisieren, sodass das PIMS-Team und andere Mitarbeiter, die sie einsehen müssen, darauf zugreifen können.

Datenschutzschulung, Tests und Bescheinigung

Gemäß Klausel 5.5 der ISO 27701 müssen Mitarbeiter und Auftragnehmer auf die Datenschutzrichtlinie des Unternehmens, ihre individuellen Beiträge, Rollen und Verantwortlichkeiten im PIMS und die Folgen einer Nichterfüllung der Anforderungen aufmerksam gemacht werden. Darüber hinaus schreibt Anhang A/B vor, dass alle Mitarbeiter und Auftragnehmer Schulungen zum Thema Datenschutz erhalten und dass die geltenden Richtlinien und Verfahren regelmäßig aktualisiert werden. OneTrust Schulungsvorlagen, wie etwa die Vorlage „Datenschutz- und Sicherheitstraining – Quiz und Bestätigung“, können Ihnen dabei helfen, die Effektivität von Sensibilisierungstrainings zu testen und Mitarbeiterbescheinigungen für Nutzungsrichtlinien oder Dokumente zur Mitarbeiterverantwortung aufzuzeichnen.

Interne Audits

Gemäß Klausel 5.7 müssen Sie interne Audits des ISMS anhand der Norm ISO/IEC 27701:2019 durchführen (einschließlich der gesamten Klausel 5 und der anwendbaren Kontrollen in Anhang A/B). Darüber hinaus fordert Klausel 5.7.3 Managementüberprüfungen des PIMS in geplanten Intervallen. Sie können auch die OneTrust Vorlage „ISO 27701 Audit Checklist“ – ein vollständig anpassbarer Fragebogen, der auf ISO 27701 basiert – verwenden, um bei der Durchführung interner oder externer Audits zu helfen, die Reife und allgemeine Effektivität des PIMS zu bewerten und Korrekturmaßnahmen zu verfolgen. Nach Abschluss eines Audits können Sie mit OneTrust problemlos einen Audit-Bericht erstellen, der einen Überblick über Ihre Antworten, Kommentare und Nachweisanhängen enthält.

Verzeichnis von Verarbeitungstätigkeiten

In den Anhängen A.7.2.8 und B.8.2.6 wird empfohlen, dass Unternehmen festlegen, welche Aufzeichnungen zur Erfüllung ihrer Verarbeitungspflichten erforderlich sind, und dass sie diese Aufzeichnungen pflegen und aufbewahren. Unternehmen sollten eine Bestandsaufnahme oder eine detaillierte Liste aller von ihnen ausgeführten Tätigkeiten der Verarbeitung personenbezogener Daten erstellen und pflegen. Mit OneTrust können Sie Verzeichnisse von Assets und Lieferanten Ihres Unternehmens, der damit verbundenen Risiken und deren Eigentümer innerhalb des Unternehmens erstellen und verwalten. Erfassen Sie in einem Verarbeitungsverzeichnis Informationen über den Zweck, die Art und den Prozess, durch die personenbezogene Daten erhoben, verwendet, gespeichert und übertragen werden. Erstellen Sie darüber hinaus Visualisierungen und Datenfluss- und -herkunftsdiagramme als Tools für eine einfachere Analyse und Kommunikation mit Führungskräften.

Risikobewertung und -behandlung

Klausel 5.4 fordert die Erstellung einer detaillierten Risikobewertungsmethode, die Kriterien zur Identifizierung unterschiedlicher Risikostufen umfasst. Klausel 5.6 schreibt die Umsetzung dieser Pläne vor, z. B. die Einhaltung der Risikomethodik bei der Durchführung von Risikobewertungen, die Festlegung von Risikobehandlungsplänen und deren Verfolgung bis zum Abschluss, die Berechnung des Restrisikos und die Gewährleistung dessen, dass all dies auf eine nachvollziehbare Art und Weise dokumentiert wird. Verwenden Sie OneTrust Bewertungsautomatisierung und einen umfangreichen Katalog von Fragebogenvorlagen, um Risiken für natürliche Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten zu identifizieren und zu berechnen sowie Risikobehandlungspläne zu erstellen und nachzuverfolgen.

Zulieferer-, Verarbeiter- und Lieferantenmanagement

Gemäß Klausel 6.12.1.2 sollten Unternehmen spezifische Bedingungen in ihre Verträge mit den Unterauftragnehmern aufnehmen. Klausel 7.2.6 legt fest, dass Verträge zwischen dem Unternehmen und einem Auftragsverarbeiter für personenbezogene Daten die Umsetzung der entsprechenden Kontrollen in Anhang B erfordern sollten. Klausel 7.5 empfiehlt, dass Unternehmen die anwendbare Grundlage für die internationale Übermittlung personenbezogener Daten festlegen und dokumentieren. Nutzen Sie OneTrust Vendorpedia, unsere Software für das Risikomanagement von Drittparteien, um den Lebenszyklus des Lieferantenmanagements zu automatisieren – vom Onboarding bis zum Offboarding – und so die ISO 27701-Zertifizierung zu erlangen und aufrechtzuerhalten.

Vorfallreaktion

Klausel 6.13.1.1 legt fest, dass der Vorfallmanagement-Prozess eines Unternehmens die Verantwortlichkeiten und Prozesse im Zusammenhang mit der Identifizierung und Aufzeichnung von Verstößen bei der Verarbeitung personenbezogener Daten umfassen sollte. Erstellen Sie Self-Service-Berichte zu Sicherheitsvorfällen und Schwachstellen, verwalten Sie Aufzeichnungen über Vorfälle und Verstöße, bewerten Sie die Einhaltung von Verpflichtungen zur Benachrichtigung über Verstöße und analysieren Sie das Gesamtrisiko mit Verbindungen zu Ihren zugrunde liegenden Datenbeständen, Verarbeitungstätigkeiten, Ressourcen und Lieferanten. OneTrust kann verwendet werden, um Richtlinien und Verfahren für das Vorfallmanagement umzusetzen.

Management von Betroffenenanfragen und Verbraucherrechten

In Anhang A.7.3 ist aufgeführt, dass Einzelpersonen angemessene Informationen über die Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden sollten. Ein Unternehmen sollte seine Verpflichtungen gegenüber Einzelpersonen gemäß den gesetzlichen und geschäftlichen Anforderungen festlegen, dokumentieren und einhalten. OneTrust bietet eine standardisierte Methode zur Entgegennahme von Anfragen und deren Verwaltung in einem zentralisierten System. Darüber hinaus können Sie ein Webformular einrichten, das Ihrem Unternehmensbranding entspricht und mit der Datenschutzseite Ihres Unternehmens verlinkt ist, so dass Sie die Möglichkeit haben, eine Benachrichtigung über eine eingereichte Anfrage zu erhalten, die Identität zu überprüfen und automatisch eine Fristverlängerung zu beantragen, wenn eine Frist abläuft.

Einwilligungs- und Präferenzmanagement

Gemäß ISO 27701 muss die Einwilligung gegebenenfalls von Einzelpersonen eingeholt und aufgezeichnet werden, damit auf Anfrage Details wie der Zeitpunkt der Einwilligung, der Identitätsnachweis der Person und die Einwilligungserklärung zur Verfügung gestellt werden können. Nutzen Sie das Einwilligungsmanagement-Tool von OneTrust, um mithilfe detaillierter Einwilligungsdatensätze Compliance nachzuweisen. OneTrust stellt die Plattform und die Tools bereit, die erforderlich sind, um rechtsgültige Einwilligungen gemäß ISO 27701 sowie Datenschutzvorschriften wie DSGVO, CCPA und LGPD einzuholen.

Erfahren Sie, wie OneTrust Sie untertsützen kann

Jetzt Demo anfordern
Onetrust All Rights Reserved