Waarom moet verkrygingspanne omgee vir ISO 27701?
Elke organisasie wat persoonlike data met 'n verskaffer deel, neem risiko. Databeskermingsregulasies (GDPR, LGPD, PDPA, en ander) hou beheerders verantwoordelik vir hul verwerkers se privaatheidspraktyke. 'n Verskafferskending word jou eie skending in die oë van reguleerders en betrokke individue. Verstaan die koste van nie-nakoming maak die saak vir streng verskaffersevaluering.
ISO 27701-sertifisering bied 'n onafhanklike, ouditeerbare sein dat 'n verskaffer 'n gestruktureerde privaatheidsinligtingbestuurstelsel geïmplementeer het. Maar nie alle sertifisering is gelyk nie – omvang, akkreditasie en deurlopende nakoming maak alles saak. Hierdie gids help jou om te evalueer wat jy eintlik kry.
Wat moet jy op 'n ISO 27701-sertifikaat nagaan?
'n ISO 27701-sertifikaat is 'n formele dokument wat deur 'n sertifiseringsliggaam uitgereik word na 'n suksesvolle oudit. Hier is wat om te verifieer:
| Sertifikaatelement | Wat om na te gaan | Hoekom is dit sake |
|---|---|---|
| Sertifiseringsliggaam | Is die liggaam geakkrediteer deur 'n erkende nasionale akkreditasieliggaam (bv. UKAS, ANAB, DAkkS)? Sien ons gids oor die keuse van 'n sertifiseringsliggaam | Nie-geakkrediteerde sertifikate dra minder gewig en voldoen moontlik nie aan die strengheid wat deur reguleerders verwag word nie. |
| Standaard weergawe | Verwys dit na ISO 27701:2019 of ISO 27701:2025? | Die 2025-uitgawe is die huidige weergawe. Verskaffers van die 2019-uitgawe moet 'n oorgang plan. |
| Omvangsverklaring | Dek die omvang die dienste en dataverwerking wat relevant is vir u kontrak? | 'n Eng omvang kan die spesifieke verwerkingsaktiwiteite waarop u staatmaak, uitsluit. |
| Rol (beheerder/verwerker) | Is die verskaffer gesertifiseer as 'n PII-beheerder, verwerker of albei? | Maak seker dat die gesertifiseerde rol ooreenstem met jou kontraktuele verhouding. |
| Geldigheidsdatums | Is die sertifikaat geldig? Wanneer is die volgende toesigoudit? | Vervalde of vervalde sertifikate bied geen waarborg nie. |
| Verklaring van toepaslikheid | Watter beheer vanaf Aanhangsel A is ingesluit of uitgesluit? | Uitgesluite kontroles kan leemtes aandui wat relevant is tot u dataverwerkingsvereistes. |
Hoe bepaal jy of die omvang voldoende is?
Omvang is die belangrikste element om te evalueer. 'n Verskaffer mag dalk 'n geldige ISO 27701-sertifikaat besit, maar dit noukeurig beperk het – dit dek slegs 'n deel van hul besigheid of 'n deelversameling van hul dienste.
Vrae om omvangtoereikendheid te bepaal
- Dek die sertifiseringsomvang eksplisiet die diens(te) wat u verkry?
- Sluit dit alle plekke in waar jou data verwerk, gestoor of verkry sal word?
- Dek dit die volle datalewensiklus – insameling, verwerking, berging, oordrag en verwydering?
- Is subverwerkers wat deur die verskaffer gebruik word, binne die bestek ingesluit, of word hulle uitgesluit?
- Indien die verskaffer in verskeie jurisdiksies werksaam is, dek die omvang al die relevante jurisdiksies?
Indien die antwoord op enige van hierdie "nee" of "onduidelik" is, benodig u verdere versekering – óf deur addisionele dokumentasie van die verskaffer óf deur u eie omsigtigheidsondersoek.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter vrae moet jy aan gesertifiseerde verskaffers vra?
Benewens die sertifikaat self, help 'n stel geteikende vrae jou om die verskaffer se werklike privaatheidsvolwassenheid te verstaan:
Vrae oor bestuurstelsels
- Wanneer was u laaste toesig- of her-sertifiseringsoudit, en wat was die bevindinge?
- Hoeveel nie-ooreenstemmings is in u mees onlangse oudit geïdentifiseer? Hoe is dit opgelos?
- Hoe gereeld voer u interne oudits van u PIMS uit?
- Wie is jou bestuursverteenwoordiger vir privaatheid, en hoe rapporteer hulle aan senior leierskap?
- Kan jy jou mees onlangse bestuursoorsiguitsette deel (geredigeer indien nodig)?
Operasionele vrae
- Hoe hanteer julle versoeke om toegang tot data vir data wat namens ons verwerk word?
- Wat is julle proses en tydlyn vir kennisgewing van oortredings?
- Hoe bestuur julle veranderinge aan subverwerkers, en hoe sal ons in kennis gestel word?
- Watter databewarings- en verwyderingsprosesse is van toepassing op ons data by kontrakbeëindiging?
- Kan jy voorsien bewys van u mees onlangse privaatheidsrisiko-assessering?
Tegniese vrae
- Hoe word ons data van ander kliënte se data geïsoleer?
- Watter enkripsiestandaarde word in rus en tydens transito toegepas?
- Hoe word toegang tot ons data beheer en aangeteken?
- Waar word ons data fisies gestoor, en is daar enige oordragte buite ons gespesifiseerde jurisdiksies?
Wat is die rooi vlae in verskaffers se privaatheidsassesserings?
Nie elke verskaffer met privaatheidsaansprake verdien vertroue nie. Let op hierdie waarskuwingstekens:
| rooi vlag | Wat dit voorstel |
|---|---|
| Sertifikaat van 'n nie-geakkrediteerde liggaam | Die oudit mag dalk nie noukeurig wees nie. Akkreditasie verseker dat die sertifiseringsliggaam aan internasionale standaarde vir bevoegdheid en onpartydigheid voldoen. |
| Omvang dek nie u dienste nie | Die verskaffer het moontlik 'n ander deel van hul besigheid gesertifiseer. Jou data mag dalk nie baat vind by die gesertifiseerde PIMS nie. |
| Onwilligheid om te deel Verklaring van toepaslikheid | Die SoA wys watter kontroles binne die bestek val. Weiering om dit te deel (selfs geredigeer) kan op ongemaklike uitsluitings dui. |
| Geen duidelike oortredingskennisgewingsproses nie | Indien die verskaffer nie hul voorvalreaksietydlyn en eskalasiepad kan artikuleer nie, mag hul PIMS onvolwasse wees. |
| Steeds op ISO 27701:2019 sonder 'n oorgangsplan | Die 2025-uitgawe bring beduidende veranderinge. Verskaffers sonder 'n oorgangsplan loop die risiko om te verval wanneer die 2019-uitgawe teruggetrek word. |
| Kan nie subverwerkers benoem nie | Indien 'n verskaffer nie 'n huidige lys van subverwerkers kan verskaf nie, het hulle moontlik nie die toesig wat deur die standaard vereis word nie. |
| Geen bewyse van voortdurende verbetering nie | 'n PIMS wat vir die oudit opgestel is, maar nie aktief bestuur word nie, bied mettertyd afnemende sekerheid. |
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoe moet jy ISO 27701 in jou verkrygingsraamwerk integreer?
ISO 27701-sertifisering werk die beste as deel van 'n gestruktureerde verskaffersevalueringsproses, nie as 'n losstaande merkblokkie nie:
Gelaagde evalueringsbenadering
- Vlak 1 (hoë risiko): Verskaffers wat groot volumes sensitiewe persoonlike inligting verwerk. Vereis ISO 27701-sertifisering, hersien die SoA, doen gedetailleerde omsigtigheidsondersoek en skeduleer periodieke herevaluering.
- Vlak 2 (medium risiko): Verskaffers met toegang tot persoonlike inligting, maar beperkte verwerkingsomvang. Aanvaar ISO 27701-sertifisering as primêre bewys, aangevul deur gerigte vrae oor omvang en insidentrespons.
- Vlak 3 (lae risiko): Verskaffers met minimale PII-toegang. Sertifisering is 'n positiewe sein, maar is dalk nie verpligtend nie. Fokus op kontraktuele beskerming.
Kontraktuele oorwegings
Gebruik die verskaffer se ISO 27701-sertifisering as 'n kontraktuele basislyn, maar versterk dit met:
- 'n Vereiste om sertifisering dwarsdeur die kontraktermyn te handhaaf
- 'n Verpligting om u in kennis te stel van enige sertifiseringsveranderinge (omvangvermindering, nie-ooreenstemming, skorsings)
- Reg-tot-oudit-klousules vir situasies waar die sertifikaat alleen onvoldoende is
- Gedefinieerde kennisgewingstydlyne vir oortredings in lyn met u regulatoriese verpligtinge
- Vereistes vir die verwydering van data by kontrakbeëindiging, met bewyse
Hoe versterk jou eie ISO 27701-sertifisering verkryging?
Aankope is 'n tweerigtingstraat. Om jou eie te bereik ISO 27701: 2025-sertifisering demonstreer aan verskaffers (en reguleerders) dat u privaatheid ernstig opneem. Dit bied ook 'n gestruktureerde raamwerk vir die bestuur van verskaffersrisiko as deel van u PIMS.
Binne ISMS.aanlyn, verskafferbestuur integreer direk met jou PIMS — wat verskafferassesserings aan risiko's, beheermaatreëls en ouditbevindinge in 'n enkele stelsel koppel. Dit maak verskafferprivaatheidsevaluering 'n bestuurde, herhaalbare proses eerder as 'n ad hoc-oefening.
Waarom ISMS.online kies vir privaatheidsverkrygingsbestuur?
- Geïntegreerde verskafferbestuur: Assesseer, monitor en bestuur verskaffers se privaatheidsnakoming binne jou PIMS – nie in 'n aparte sigblad nie.
- Voorafgeboude ISO 27701:2025-raamwerk: Die standaardvereistes is gekarteer en gereed, insluitend verskafferverwante beheermaatreëls.
- Risiko-gekoppelde verskafferbeoordelings: Koppel verskaffersrisiko's aan jou organisasie se risikoregister sodat verskaffers se privaatheidsgapings op bestuursvlak sigbaar is.
- Bewysspoor: Stoor sertifikate, SoA's, rekords van behoorlike sorgvuldigheid en korrespondensie op een ouditeerbare plek.
- Outomatiese hersieningsiklusse: Stel herinneringe vir sertifikaatvervaldatums, toesigouditdatums en periodieke herevaluerings.
- Ondersteuning vir beide kante: Of jy nou verskaffers evalueer of voorberei vir jou eie sertifisering, die platform dek beide scenario's.
- Samewerkende benadering: Deel relevante voldoeningsbewyse direk vanaf die platform met kliënte en vennote.
Gereed om jou verkrygingsprivaatheidsevaluering te versterk? Bespreek 'n demo om te sien hoe ISMS.aanlyn maak verskafferassessering deel van jou privaatheidsbestuurstelsel.
Vrae & Antwoorde
Moet ons ISO 27701-sertifisering van alle verskaffers vereis?
Nie noodwendig nie. ’n Risikogebaseerde benadering is meer prakties. Vereis sertifisering van hoërisiko-verskaffers wat beduidende volumes PII verwerk. Vir laer-risiko-verskaffers, gebruik sertifisering as ’n positiewe aanwyser saam met kontraktuele beskermings en geteikende omsigtigheidsvrae.
Wat is die verskil tussen ISO 27701:2019 en 2025 vir verkrygingsdoeleindes?
Die 2025-uitgawe kan bereik word as 'n losstaande sertifisering sonder om ISO 27001 te vereis. Dit sluit ook opgedateerde beheermaatreëls en verbeterde belyning met huidige privaatheidsregulasies in. Verskaffers wat gesertifiseer is volgens die 2019-uitgawe moet 'n gedokumenteerde oorgang plan.
Kan 'n verskaffer gesertifiseer word volgens ISO 27701, maar steeds privaatheidsgapings hê?
Ja. Sertifisering bied versekering binne sy gedefinieerde bestek, maar dit waarborg nie perfeksie nie. 'n Verskaffer mag 'n nou bestek hê wat sekere dienste uitsluit, of hul PIMS mag nie al die verwerkingsaktiwiteite dek wat relevant is tot u kontrak nie. Daarom is dit noodsaaklik om die bestekverklaring en Toepaslikheidsverklaring te hersien.
Hoe gereeld moet ons gesertifiseerde verskaffers herevalueer?
Verifieer ten minste jaarliks die geldigheid van sertifikate (in lyn met toesigouditsiklusse). Vir hoërisiko-verskaffers, doen elke 12–18 maande 'n meer gedetailleerde herevaluering, en hersien omvangveranderinge, ouditbevindinge, voorvalgeskiedenis en subverwerkeropdaterings. ISMS.aanlyn kan hierdie hersieningsherinneringe binne jou PIMS outomatiseer.
Wat gebeur as 'n verskaffer weier om hul Verklaring van Toepaslikheid te deel?
Dit is 'n beduidende rooi vlag. Die SoA is 'n standaard oudit-artefak en die deel daarvan (geredigeer indien nodig) is algemene praktyk. Indien 'n verskaffer weier, versoek 'n opsomming van uitgeslote beheermaatreëls en die regverdiging vir elke uitsluiting. Indien deursigtigheid steeds ontbreek, oorweeg of die verskaffer aan u risiko-aptyt voldoen.
