policy ISO 27701 PIMS Policy Pack

Beleid inzake toestemmings- en voorkeurenbeheer

ISO 27701-toestemmingsbeleid voor rechtmatige vastlegging van toestemming, voorkeurswijzigingen, afhandeling van intrekking, bewijsregistraties en PIMS-governance die geschikt is voor audits.

Overzicht

Dit beleid regelt rechtmatige toestemmings- en voorkeurenbeheer in contexten van verwerkingsverantwoordelijke, verwerker, gezamenlijke verwerkingsverantwoordelijke en subverwerker. Het definieert hoe toestemming wordt gevraagd, geregistreerd in REG05, gekoppeld aan REG02 en REG07, ingetrokken, vernieuwd, beschermd, gemeten, geaudit en gecorrigeerd.

Controleerbaar bewijs van toestemming

Definieert REG05 als gezaghebbende registratie voor toestemmingsstatus, formulering, versie van de privacyverklaring, tijdstempels, methoden en historie.

Beheerste afhandeling van intrekking

Vereist dat intrekking en voorkeurswijzigingen worden geregistreerd en verwerkt binnen gedefinieerde operationele termijnen of termijnen voor klantinstructie.

Afstemming op rechtsgrondslag

Waarborgt dat toestemming alleen wordt gebruikt waar dat passend is en wordt gekoppeld aan REG02-verwerkingsdoelen en REG07-versies van privacyverklaringen.

Volledig overzicht lezen (click to expand)
Het Beleid inzake toestemmings- en voorkeurenbeheer definieert verplichte vereisten voor het bepalen wanneer toestemming vereist is, het vragen van toestemming, het vastleggen van bewijs van toestemming, het beheren van voorkeuren, het verwerken van intrekkingen, het onderhouden van toestemmingsregistraties en het beoordelen van toestemmingsmechanismen. Het is van toepassing op PII-verwerking waarbij toestemming als rechtsgrondslag wordt geselecteerd of vereist, waarbij uitdrukkelijke toestemming vereist is, waarbij toestemmingsvoorkeuren worden vastgelegd, of waarbij de organisatie toestemmingsregistraties beheert namens een verwerkingsverantwoordelijke. Het beleid omvat contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, en maakt tegelijk duidelijk dat verplichtingen van verwerkers en subverwerkers alleen gelden wanneer toestemmingsregistraties, voorkeursstatussen of instructies tot intrekking worden beheerd op grond van gedocumenteerde instructies van de verwerkingsverantwoordelijke of klantinstructies. Een centraal uitgangspunt van het beleid is dat toestemming niet de standaard rechtsgrondslag voor PII-verwerking is. Voordat een nieuwe of wezenlijk gewijzigde verwerkingsactiviteit op toestemming steunt, moet de proceseigenaar of bedrijfseigenaar in REG02 registreren of toestemming vereist of geselecteerd is, en moet de privacyverantwoordelijke of PIMS-manager in REG02 en REG05 verifiëren dat toestemming niet standaard is geselecteerd. Wanneer verwerking betrekking heeft op bijzondere categorieën PII, diensten die gericht zijn op kinderen, risicovolle verwerking of een onevenwichtige verhouding tussen de organisatie en de betrokkene, moet de functionaris voor gegevensbescherming (FG) of adviseur inzake gegevensbescherming de toestemmingsgrondslag vóór de livegang in REG04 beoordelen. Voor activiteiten van gezamenlijke verwerkingsverantwoordelijken moet de verantwoordelijkheid voor het verkrijgen, registreren, vernieuwen en respecteren van toestemming worden gedocumenteerd voordat de verwerking begint. Het beleid stelt gedetailleerde operationele vereisten voor het vragen en vastleggen van toestemming. Toestemmingsverzoeken moeten doelspecifiek zijn en vóór presentatie aan een betrokkene worden gekoppeld aan de toepasselijke REG07-versie van de privacyverklaring. Systemen moeten een bevestigende handeling vereisen wanneer uitdrukkelijke of opt-in-toestemming vereist is en moeten voorkomen dat verwerking die op toestemming steunt doorgaat, tenzij REG05 een actieve toestemmingsstatus voor het relevante doel toont. REG05 moet de referentie van de betrokkene, het doel, de PII-categorie, de toestemmingsformulering of -versie, de versie van de privacyverklaring, het vastleggingskanaal, het tijdstempel, de methode, de status en de toepasselijke geldigheidsperiode vastleggen. Wanneer toestemming voor diensten die gericht zijn op kinderen of uitdrukkelijke toestemming van toepassing is, worden aanvullende logica, markering en beoordelingsvereisten geactiveerd. Voorkeurenbeheer en beheer van intrekking worden eveneens geregeld via REG05 en, waar van toepassing, REG08. Een mechanisme voor intrekking of voorkeurswijziging moet uiterlijk beschikbaar zijn op het moment waarop toestemming wordt gevraagd. Intrekkingen en voorkeurswijzigingen moeten binnen vijf werkdagen na ontvangst of binnen een kortere termijn die voor de verwerkingsactiviteit is gedefinieerd, worden geregistreerd. Getroffen systemen, onderdrukkingsstatussen of voorkeursvlaggen moeten worden bijgewerkt voordat verdere verwerking voor een ingetrokken of beperkt doel wordt voortgezet. Verwerkers moeten klantinstructies binnen de door de klant gedefinieerde termijn doorsturen of uitvoeren, en subverwerkers moeten via REG08 worden geverifieerd aan de hand van contractuele of geïnstrueerde termijnen. Het beleid behandelt ook wijzigingsbeheer, bescherming van registraties, governance, implementatie, metrieken, uitzonderingen, handhaving en onderhoud. Toestemming moet opnieuw worden beoordeeld voordat de verwerking wordt voortgezet wanneer het doel, de PII-categorieën, de identiteit van de verwerkingsverantwoordelijke, de formulering van de privacyverklaring, de bewaring, de categorie ontvangers of de verwerkingsmethode wezenlijk wijzigt. Toestemmingsformuleringen, configuraties van mechanismen, verwijzingen naar privacyverklaringen en schema's voor toestemmingsregistraties moeten onder versiebeheer worden geplaatst. REG05-registraties moeten worden beschermd tegen ongeautoriseerde wijziging en audittrail-bewijsmateriaal moet worden onderhouden. Metrieken omvatten driemaandelijkse koppelingscontroles tussen REG05, REG02 en REG07; maandelijkse meting van de voltooiing van intrekkingen waar verwerking op basis van toestemming actief is; en auditrapportage in REG12. Uitzonderingen moeten vóór implementatie worden goedgekeurd, en non-conformiteiten met ontbrekend, ongeldig, niet-gekoppeld of onbetrouwbaar bewijs van toestemming moeten binnen vijf werkdagen worden geregistreerd.

Beleidsdiagram

Processtroomdiagram met beoordeling van de toepasselijkheid van toestemming, bevestiging van rechtsgrondslag, koppeling aan privacyverklaring, vastlegging van toestemming in REG05, updates van voorkeuren of intrekkingen, bescherming van bewijsmateriaal, metrieken, auditbeoordeling, uitzonderingen en corrigerende maatregelen.

Klik op het diagram om het op volledige grootte te bekijken

Inhoud

Toepasselijkheid van toestemming en rechtsgrondslag

Toestemmingsverzoek en vastlegging

Voorkeurenbeheer en beheer van intrekking

Wijziging, vernieuwing en versiebeheer van toestemming

Registraties, bewijs en bescherming

Metrieken, uitzonderingen en handhaving

Framework-naleving

🛡️ Ondersteunde standaarden & frameworks

Dit product is afgestemd op de volgende compliance-frameworks, met gedetailleerde clausule- en controlemappings.

Framework Gedekte clausules / Controles
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Gerelateerde beleidsregels

Beleid inzake verwerkingsinventaris en rechtsgrondslag

Toestemmingsbesluiten zijn afhankelijk van REG02-registraties van rechtsgrondslagen en koppeling met de verwerkingsinventaris op doelniveau.

Beleid inzake privacyverklaring en transparantie

Toestemmingsverzoeken moeten vóór presentatie worden gekoppeld aan de toepasselijke REG07-versie van de privacyverklaring.

Beleid inzake beheer van rechten van betrokkenen

Afhandeling van intrekking en voorkeurswijzigingen ondersteunt het bredere beheer van rechten van betrokkenen.

Beleid inzake privacyrisicobeoordeling en DPIA

REG04-beoordeling is vereist voor hoogrisicotriggerpunten zoals bijzondere categorieën PII, diensten die gericht zijn op kinderen of een onevenwichtige verhouding.

Beleid inzake beheer van verwerkers, subverwerkers en privacy van derde partijen

Verplichtingen van verwerkers, subverwerkers, leveranciers en klantinstructies worden beheerd via REG08-koppelingen.

PIMS-beleid inzake gedocumenteerde informatie en bewijsmateriaalbeheer

Toestemmingsgovernance steunt op beheerste bewijsobjecten, met name REG05-registraties en REG12-uitzonderingen of bevindingen.

Over Clarysec-beleidsdocumenten - Beleid inzake toestemmings- en voorkeurenbeheer

Dit beleid stelt operationele governance vast voor toestemmings- en voorkeurenbeheer binnen het privacy-informatiemanagementsysteem. Het definieert wanneer toestemming mag worden gebruikt, hoe toestemmingsverzoeken moeten worden gepresenteerd, welk bewijsmateriaal moet worden vastgelegd, hoe voorkeurswijzigingen en intrekkingen worden afgehandeld, en hoe registraties worden beoordeeld, beschermd, gecorrigeerd en bewaard. Het beleid is eigendom van de privacyverantwoordelijke / PIMS-manager, wordt goedgekeurd door het topmanagement en is van toepassing in contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker waar toestemmingsregistraties, voorkeursstatussen of instructies tot intrekking betrokken zijn.

Toestemming niet standaard

Vereist controles in REG02 en REG05 zodat toestemming alleen wordt gebruikt waar dit passend is voor de verwerkingsactiviteit.

Koppeling aan versie van privacyverklaring

Koppelt toestemmingsverzoeken en registraties aan de toepasselijke REG07-versie van de privacyverklaring voordat verwerking begint.

Uitvoering van intrekking

Definieert registratie- en systeemupdateverplichtingen voor intrekkingen en voorkeurswijzigingen binnen vereiste termijnen.

Beschermde registraties

Vereist dat REG05-bewijs van toestemming wordt beschermd tegen ongeautoriseerde wijziging met audittrail-bewijsmateriaal.

Veelgestelde vragen

Ontwikkeld voor leiders, door leiders

Dit beleid is opgesteld door een securityleider met meer dan 25 jaar ervaring in het implementeren en auditen van ISMS-frameworks voor wereldwijde ondernemingen. Het is niet alleen bedoeld als document, maar als een verdedigbaar kader dat standhoudt onder auditoronderzoek.

Opgesteld door een expert met de volgende kwalificaties:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dekking & Onderwerpen

🏢 Doelafdelingen

Privacy Juridische zaken Naleving IT-beveiliging kantoor van de functionaris voor gegevensbescherming (FG)

🏷️ Onderwerpdekking

Privacy-informatiemanagement verwerking van persoonlijk identificeerbare informatie (PII) toestemming en rechtsgrondslag registraties van verwerkingsactiviteiten verantwoordelijkheden van verwerkingsverantwoordelijke en verwerker beheer van derde partijen monitoring en meting
€69

Eenmalige aankoop

Directe download
Levenslange updates

Dit beleid is 1 van 25 in het volledige ISO/IEC 27701 PIMS-pakket

Bespaar 52%

Ontvang alle 25 PIMS-beleidsregels, de volledige registerset en een gedetailleerd implementatieplan voor €799, in plaats van €1.675 afzonderlijk.

Bekijk volledig 27701-pakket →
Consent and Preference Management Policy

Productdetails

Type: policy
Categorie: ISO 27701 PIMS Policy Pack
Normen: 5