Hem Standarder Branscher ✦ AI-bedömning Offert →
HemStandarder → ISO 27701

ISO/IEC 27701 — Integritetsinformationshantering

Den internationella standarden för ledningssystem för integritetsinformation (PIMS). ISO 27701 utökar ISO 27001 med integritetsspecifika kontroller och tillhandahåller ett strukturerat och reviderbart ramverk för GDPR-, LGPD-, PIPEDA- och annan integritetslagsefterlevnad.

ISO 27701:2019 PIMS GDPR-anpassning Integritetsramverk

Vad är ISO/IEC 27701?

ISO/IEC 27701:2019 är en utökning av ISO 27001 och ISO 27002 som specificerar krav och vägledning för att upprätta, implementera, underhålla och ständigt förbättra ett ledningssystem för integritetsinformation (PIMS). Den kartlägger integritetskontroller till rollerna för personuppgiftsansvariga (PII Controllers) och personuppgiftsbiträden (PII Processors).

Relation till ISO 27001

ISO 27701 är inte en fristående standard: den utökar ISO 27001. Organisationer måste ha ISO 27001-certifiering (eller söka den samtidigt) innan de kan certifieras enligt ISO 27701. Det integrerade programmet delar ISMS-ledningsramverket, vilket avsevärt minskar implementeringsinsatsen och revisionskostnaden jämfört med separata projekt.

Vem behöver ISO 27701?

  • Organisationer som behandlar EU-personuppgifter under GDPR-skyldigheter
  • Molntjänstleverantörer och personuppgiftsbiträden som hanterar kundpersonuppgifter
  • Plattformar inom hälsoteknik och HR-teknik
  • Finanstjänstföretag med flerjurisdiktionella integritetskrav
  • Alla organisationer som vill visa ansvarsskyldighet enligt GDPR artikel 5(2)

ISO 27701 och GDPR-efterlevnad

Även om ISO 27701-certifiering inte utgör juridiskt bevis på GDPR-efterlevnad, tillhandahåller den ett dokumenterat och oberoende granskat ramverk som direkt kartläggs mot GDPR:s ansvarsskyldigheter. Tillsynsmyndigheter och dataskyddsombud erkänner i stor utsträckning ISO 27701 som en robust ansvarsskyldighetsåtgärd enligt GDPR artikel 24.

Viktiga kontrollområden

  • Integritetsvillkor för insamling och behandling av personuppgifter
  • Skyldigheter gentemot registrerade: transparens, åtkomst, rättelse, radering
  • Inbyggt dataskydd och dataskydd som standard i system- och processdesign
  • Kontroller för dataöverföring, inklusive mekanismer för gränsöverskridande överföring
  • Hantering av personuppgiftsbiträden och underbiträden enligt GDPR artikel 28
  • Rutiner för anmälan av personuppgiftsincidenter anpassade till GDPR:s 72-timmarskrav

Typisk tidsram

För organisationer som redan har ISO 27001: 2–3 månader för att lägga till ISO 27701-certifiering. För organisationer som söker ISO 27001 + ISO 27701 samtidigt: 4–6 månader.