policy ISO 27701 PIMS Policy Pack

Beleid voor cloudverwerkers van persoonsgegevens

Op ISO 27701 afgestemd beleid voor cloudverwerkers van persoonsgegevens voor klantinstructies, subverwerkers, toegang, doorgiften, verwijdering, ondersteuning bij inbreuken en bewijsmateriaal.

Overzicht

Het Beleid voor cloudverwerkers van persoonsgegevens definieert hoe cloudverwerking van persoonsgegevens moet worden beheerst wanneer de organisatie optreedt als verwerker of subverwerker. Het omvat klantinstructies, gedeelde verantwoordelijkheid, tenantisolatie, subverwerkers, doorgiften, verwijdering, ondersteuning bij inbreuken, audits en bewijsmateriaal binnen REG02, REG03, REG08, REG09, REG10 en REG12.

Beheersing voor cloudverwerkers

Definieert verplichte privacyvereisten voor SaaS, PaaS, IaaS, gehoste toepassingen, beheerde cloud, opslag, analytics en infrastructuurdiensten die persoonsgegevens verwerken.

Verwerking op basis van instructies

Vereist dat klantinstructies of instructies van een upstreamverwerker worden geregistreerd, beoordeeld en gevolgd voordat cloudverwerking van persoonsgegevens begint.

Subverwerkersgovernance

Omvat autorisatie van cloudsubverwerkers, doorlegverplichtingen, locaties, wijzigingskennisgevingen, monitoring en exitbewijsmateriaal.

Exitgereed bewijsmateriaal

Vereist bewijsmateriaal voor teruggave, doorgifte, verwijdering, vernietiging en exit van subverwerkers voor live systemen, back-ups, logboeken en supportkopieën.

Volledig overzicht lezen (click to expand)
Het Beleid voor cloudverwerkers van persoonsgegevens definieert verplichte privacyvereisten voor in de cloud gehoste diensten waarbij de organisatie optreedt als verwerker of subverwerker van persoonsgegevens. De reikwijdte omvat SaaS, PaaS, IaaS, gehoste toepassingen, beheerde cloud, cloudsupport, cloudopslag, cloudanalytics en cloudinfrastructuurdiensten die persoonsgegevens namens klanten verwerken. Het beleid is ontworpen om cloudverwerking afgestemd te houden op gedocumenteerde klantovereenkomsten, klantinstructies, instructies van upstreamverwerkers, subverwerkersafspraken, configuratie van cloudregio's, toegang voor cloudsupport, servicebeheer, back-up, replicatie, logging, monitoring, verwijdering, teruggave, ondersteuning bij inbreuken, auditondersteuning en verplichtingen voor klantassistentie. Een centraal doel van het beleid is beheersing op basis van bewijsmateriaal. Vóór klantonboarding of een wezenlijke wijziging van de dienstverlening moet de Privacyverantwoordelijke / PIMS-manager elke clouddienst voor verwerking van persoonsgegevens, verwerkingsrol, bron van klantinstructies, categorieën persoonsgegevens, categorieën betrokkenen, dienstdoel, verwerkingslocatie, subverwerkersafhankelijkheid, verwijderingsafhankelijkheid en doorgiftevlag registreren in REG02 en REG08. Het beleid vereist ook dat de toepasselijkheid van beheersmaatregelen voor cloudverwerkers wordt geregistreerd in REG03, dat routing van doorgiften en locaties waar relevant wordt vastgelegd in REG09, dat cloudincidenten met betrekking tot persoonsgegevens worden beheerd via REG10, en dat monitoring, uitzonderingen, geschillen, validatieresultaten en corrigerende maatregelen worden afgehandeld via REG12. Zo blijven verplichtingen van cloudverwerkers geïntegreerd met de bestaande PIMS-beleidsset en wordt voorkomen dat afzonderlijke registers worden gecreëerd voor contracten, diensten, tenantisolatie, toegang, logboeken, verwijdering, support, audits, inbreuken of subverwerkers. Het beleid stelt praktische vereisten gedurende de levenscyclus van de clouddienst. Het vereist gedocumenteerde klantinstructies of instructies van upstreamverwerkers voordat verwerking begint, beoordeling van instructies die niet consistent lijken met verplichtingen of het goedgekeurde diensttoepassingsgebied, en goedkeuring voordat persoonsgegevens van klanten buiten gedocumenteerde instructies worden verwerkt. Het behandelt ook cloudconfiguratie en beveiligingsbewijsmateriaal door grenzen van gedeelde verantwoordelijkheid in de cloud, tenantisolatievalidatie, gecontroleerde beheerderstoegang, kwartaalbeoordeling van geprivilegieerde toegang en dekking van logboeken, scheiding van omgevingen, en geregistreerde locaties voor back-ups, replicatie, logopslag en supporttoegang te vereisen. Deze vereisten zijn doelbewust gekoppeld aan bestaande beveiligingsmaatregelen voor persoonsgegevens in plaats van het bredere Beleid inzake beveiliging en toegangscontrole voor persoonsgegevens te vervangen. Subverwerkersgovernance en governance van de cloudtoeleveringsketen worden behandeld als kernverplichtingen van verwerkers. De Leveranciers-/inkoopeigenaar moet cloudsubverwerkers, infrastructuurproviders, hostingproviders, managed service providers, supportproviders en andere wezenlijke afhankelijkheden van clouddiensten vóór gebruik registreren. Het beleid vereist bewijsmateriaal van klantautorisatie of een gedocumenteerde autorisatiegrondslag, doorlegverplichtingen voor privacy, beveiliging, assistentie, incidenten, teruggave, verwijdering, auditondersteuning en doorgiften, en registraties van dienstlocaties, locaties voor support op afstand, hostingregio's en routing van verdere doorgiften. Het vereist ook klantkennisgeving van voorgenomen wijzigingen in cloudsubverwerkers binnen de contractueel vereiste kennisgevingstermijn en ten minste jaarlijkse beoordeling van actieve registraties van cloudsubverwerkers en cloudafhankelijkheden. Het beleid omvat ook klantassistentie, auditondersteuning, de interface voor inbreuken, verwijdering en exit. Verplichtingen voor klantassistentie voor verzoeken tot uitoefening van rechten, verwijdering, rectificatie, beperking, toegang, audit, DPIA-ondersteuning en ondersteuning bij inbreuken moeten vóór contractondertekening of activering van de dienst worden geregistreerd. Door klanten gevraagde ondersteuning bij rechten moet binnen de met de klant overeengekomen termijn worden afgerond, privacyrelevante verzoeken om DPIA- of beoordelingsondersteuning moeten binnen tien werkdagen worden beoordeeld, en achterstallige of betwiste assistentieverzoeken moeten worden gevolgd. Voor exit vereist het beleid bewijsmateriaal van export-, teruggave-, doorgifte- of verwijderingsmogelijkheid vóór onboarding of een wezenlijke wijziging van de dienstverlening, afronding binnen met de klant overeengekomen termijnen, opname van live systemen, back-ups, replica's, logboeken, tijdelijke bestanden, stagingomgevingen en supportkopieën, en afhandeling van non-conformiteiten wanneer verplichtingen niet tijdig kunnen worden afgerond. Governance wordt versterkt door kwartaalbeoordelingen van de volledigheid van bewijsmateriaal, jaarlijkse beoordelingen van beleid en subverwerkers, auditsteekproeven, metrieken, handhavingsmaatregelen en goedkeuring door Topmanagement voor wezenlijke uitzonderingen en herzieningen.

Beleidsdiagram

Processtroomdiagram dat cloudgovernance voor verwerkers van persoonsgegevens toont vanaf onboarding en vastlegging van klantinstructies, via validatie van gedeelde verantwoordelijkheid en tenantisolatie, autorisatie van subverwerkers, routing van doorgiften, klantassistentie, incidentinterface, verwijdering of teruggave bij exit, en kwartaalmonitoring waarbij uitzonderingen en corrigerende maatregelen in PIMS-registers worden geregistreerd.

Klik op het diagram om het op volledige grootte te bekijken

Inhoud

Toepassingsgebied van cloudverwerking van persoonsgegevens en registraties van klantinstructies

Bewijsmateriaal voor gedeelde verantwoordelijkheid, tenantisolatie, toegang en logging

Subverwerkersgovernance en governance van de cloudtoeleveringsketen

Locatie, toegang op afstand en internationale routing van doorgiften

Bewijsmateriaal voor teruggave, doorgifte, verwijdering, vernietiging en exit

Monitoring, uitzonderingen, handhaving en corrigerende maatregelen

Framework-naleving

🛡️ Ondersteunde standaarden & frameworks

Dit product is afgestemd op de volgende compliance-frameworks, met gedetailleerde clausule- en controlemappings.

Framework Gedekte clausules / Controles
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Gerelateerde beleidsregels

Beleid voor privacybeheer van verwerkers, subverwerkers en derde partijen

Ondersteunt rechtstreeks de cloudsubverwerkersgovernance en levenscyclusgovernance van derden die door dit beleid worden vereist.

Beleid inzake internationale doorgiften

Ondersteunt de vereisten voor locatie, toegang op afstand en routing van verdere doorgiften voor persoonsgegevens van klanten in de cloud.

Beleid inzake beveiliging en toegangscontrole

Biedt de bredere architectuur voor beveiliging van persoonsgegevens en toegangscontrole waarnaar wordt verwezen door beheersmaatregelen voor cloudtoegang, logging en tenantisolatie.

Beleid inzake incident- en inbreukbeheer

Verbindt detectie van cloudincidenten met betrekking tot persoonsgegevens, klantkennisgeving en bewijsmateriaal voor ondersteuning bij inbreuken met de incidentworkflow.

Beleid inzake bewaring, verwijdering en vernietiging

Ondersteunt de vereisten voor bewijsmateriaal voor teruggave, verwijdering, vernietiging en exit voor persoonsgegevens van klanten en kopieën bij subverwerkers.

PIMS-beleid inzake gedocumenteerde informatie en bewijsmateriaalbeheer

Ondersteunt de gedocumenteerde informatie en canonieke behandeling van bewijsmateriaal die worden gebruikt binnen REG02, REG03, REG08, REG09, REG10 en REG12.

Over Clarysec-beleidsdocumenten - Beleid voor cloudverwerkers van persoonsgegevens

Het Beleid voor cloudverwerkers van persoonsgegevens stelt operationele privacyvereisten vast voor in de cloud gehoste diensten waarbij de organisatie optreedt als verwerker of subverwerker van persoonsgegevens. Het verbindt klantinstructies, het toepassingsgebied van cloudverwerking, bewijsmateriaal voor gedeelde verantwoordelijkheid, tenantisolatie, toegang, logging, subverwerkersgovernance, locatie- en doorgifterouting, verwijdering, teruggave, ondersteuning bij inbreuken, auditondersteuning en monitoring met het PIMS-bewijsmodel van de organisatie. Het beleid wijst duidelijke verantwoordelijkheden toe aan Topmanagement, de Privacyverantwoordelijke / PIMS-manager, de Functionaris voor gegevensbescherming (FG) / privacyadviseur, de informatiebeveiligingsverantwoordelijke, de proceseigenaar / bedrijfseigenaar, de systeemeigenaar / applicatie-eigenaar, de leveranciers-/inkoopeigenaar, de Incident Response-coördinator en de interne audit-/nalevingsbeoordelaar. Het gebruikt REG02, REG03, REG08, REG09, REG10 en REG12 om registraties die gereed zijn voor audits te onderhouden en gereedheid voor ISO/IEC 27701:2025 PIMS-certificering te ondersteunen voor cloudverwerkers en cloudsubverwerkers.

Verwerking op basis van bewijsmateriaal

Koppelt verplichtingen van cloudverwerkers aan REG02, REG03, REG08, REG09, REG10 en REG12 voor registraties die gereed zijn voor audits.

Beheersing van klantinstructies

Vereist gedocumenteerde klantinstructies of instructies van een upstreamverwerker voordat cloudverwerking van persoonsgegevens begint.

Zichtbaarheid van de cloudtoeleveringsketen

Registreert subverwerkers, cloudafhankelijkheden, autorisatiegrondslag, doorlegverplichtingen, locaties en beoordelingsbewijsmateriaal.

Beheerste afhandeling van exit

Omvat bewijsmateriaal voor teruggave, doorgifte, verwijdering en vernietiging voor live systemen, back-ups, logboeken en supportkopieën.

Veelgestelde vragen

Ontwikkeld voor leiders, door leiders

Dit beleid is opgesteld door een securityleider met meer dan 25 jaar ervaring in het implementeren en auditen van ISMS-frameworks voor wereldwijde ondernemingen. Het is niet alleen bedoeld als document, maar als een verdedigbaar kader dat standhoudt onder auditoronderzoek.

Opgesteld door een expert met de volgende kwalificaties:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dekking & Onderwerpen

🏢 Doelafdelingen

Privacy Juridische zaken Naleving IT-beveiliging Inkoop

🏷️ Onderwerpdekking

Privacy-informatiemanagement Verwerking van persoonsgegevens Verantwoordelijkheden van verwerkingsverantwoordelijke en verwerker Beheer van derde partijen Internationale doorgiften van persoonsgegevens Gegevensbewaring en vernietiging Beheer van inbreuken
€59

Eenmalige aankoop

Directe download
Levenslange updates

Dit beleid is 1 van 25 in het volledige ISO/IEC 27701 PIMS-pakket

Bespaar 52%

Ontvang alle 25 PIMS-beleidsregels, de volledige registerset en een gedetailleerd implementatieplan voor €799, in plaats van €1.675 afzonderlijk.

Bekijk volledig 27701-pakket →
Cloud PII Processor Policy

Productdetails

Type: policy
Categorie: ISO 27701 PIMS Policy Pack
Normen: 9