policy ISO 27701 PIMS Policy Pack

Integritetspolicy för AI och automatiserat beslutsfattande

ISO 27701-anpassad policy för integritetskontroller avseende AI, profilering och automatiserat beslutsfattande i PII-förteckningar, DPIA:er, meddelanden, rättigheter och leverantörer.

Översikt

Denna policy definierar PIMS-kontroller för AI, profilering och automatiserat beslutsfattande som omfattar PII. Den kräver identifiering, riskscreening, DPIA-styrning, transparens, hantering av rättigheter, leverantörskontroller, styrning av överföringar, övervakning och korrigerande åtgärder med hjälp av befintliga underlagsobjekt i stället för separata AI-register.

Kontrollramverk för AI-integritet

Definierar obligatoriska integritetskrav för AI, profilering, poängsättning, rekommendationer och automatiserade beslut som omfattar PII.

Underlagsstyrd PIMS-styrning

Styr underlag för AI-integritet via REG02, REG04, REG06, REG07, REG08, REG09, REG10 och REG12.

Rättigheter och möjlighet att bestrida

Kräver vägar för mänsklig granskning, hantering av invändningar och stöd för möjligheten att bestrida betydande AI-relaterade beslut.

Läs fullständig översikt (click to expand)
Integritetspolicyn för AI och automatiserat beslutsfattande definierar obligatoriska integritetskrav för artificiell intelligens, profilering, poängsättning, rekommendation, beslutsstöd och automatiserat beslutsfattande som omfattar PII. Omfattningen inkluderar AI-aktiverade system, applikationer, modeller, tjänster, arbetsflöden, beslutsmotorer, analysmodeller och processer för automatiserat beslutsfattande som använder, härleder, genererar, lämnar ut eller på annat sätt behandlar PII inom PIMS-omfattningen. Den omfattar även PII som används för utbildning, testning, validering, finjustering, övervakning, produktionsinferens, granskning av utdata, prestationsmätning, incidentutredning och avveckling av modeller. Policyn gäller i sammanhang som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde, inklusive AI-relaterade leverantörer, personuppgiftsbiträden, underbiträden, mottagare i upplägg för datadelning och rutter för internationell överföring. Syftet med policyn är att säkerställa att AI, profilering och automatiserat beslutsfattande som omfattar PII identifieras, dokumenteras, riskbedöms, görs transparenta, kan bestridas, övervakas och kontrolleras genom PIMS utan att dubbla AI-specifika styrningsartefakter skapas. Den anger uttryckligen att den inte skapar ett fullständigt styrningsramverk för AI, ett ledningssystem för AI, en AI-förteckning, en modellförteckning, ett modellriskregister, ett rättviseregister, ett algoritmregister, ett AI-incidentregister, en AI-kommitté, en roll som modellägare, en roll som AI-systemägare, ett arbetsflöde för juridisk rådgivning eller en separat blankett för AI-godkännande. I stället kräver den att AI-relaterade integritetsförpliktelser styrks genom befintliga kanoniska underlagsobjekt: REG02, REG04, REG06, REG07, REG08, REG09, REG10 och REG12. Operativt kräver policyn att processägare/verksamhetsägare fastställer om nya eller väsentligt ändrade system, arbetsflöden eller verksamhetsprocesser använder AI, profilering, poängsättning, rekommendation, beslutsstöd eller automatiserat beslutsfattande som omfattar PII och att bedömningen dokumenteras i REG02. Innan AI-relaterad behandling av PII inleds kräver policyn dokumentation av behandlingsändamål, PII-kategorier, kategorier av registrerade, datakällor, kategorier av härledda uppgifter eller härledda data, utdatakategorier, mottagarkategorier, rättslig grund och bevarandekoppling. För profilering, poängsättning, rekommendation, beslutsstöd eller automatiserat beslutsfattande som används i produktion ska beslutskontext, förväntad effekt på registrerade, mänsklig medverkan och rättighetsväg dokumenteras i REG02 och REG04. Riskstyrning är en central del av policyn. Innan AI-relaterad behandling av PII lanseras eller ändras väsentligt ska dataskyddsansvarig/PIMS-ansvarig genomföra screening av integritetsrisker och dokumentera DPIA-beslutet i REG04. När behandlingen omfattar profilering, automatiserade beslut, storskalig utvärdering, särskilda kategorier av personuppgifter, uppgifter om lagöverträdelser, sårbara registrerade, bedömning av anställda, barn, beteendeövervakning, platsdata, biometriska data, poängsättning med hög påverkan eller betydande effekter ska dataskyddsombud/integritetsrådgivare granska integritetsrisken och dokumentera rådgivningen i REG04. Om hög kvarstående integritetsrisk kvarstår efter planerad riskbehandling ska högsta ledningen godkänna, avslå eller kräva ytterligare riskbehandling före produktionsanvändning, och beslutet ska dokumenteras i REG04 och REG12. Policyn fastställer även kontroller för transparens, meningsfull information, minimering, hantering av rättigheter, övervakning, leverantörer och tillämpning. Innehållet i integritetsmeddelanden ska beskriva AI-relaterat ändamål, datakategorier, utdatakategorier, mottagarkategorier, rättighetsväg och kontaktväg, och versioner av meddelanden ska dokumenteras i REG07. Vägar för mänsklig granskning, invändning och möjlighet att bestrida krävs för AI-relaterade beslut med rättsliga effekter eller effekter på behörighet, åtkomst, anställning, ekonomi, utbildning, tjänster, säkerhet eller liknande betydande effekter. Leverantörer och personuppgiftsbiträden ska styras via REG08, med internationella överföringar styrda via REG09. Övervakningskriterier ska omfatta ändringar i indata, ändringar i utdata, rättighetsfrågor, negativa integritetsutfall, obehörig användning och klagomålstrender, med kvartalsvis granskning för aktiv AI-relaterad behandling av PII med hög påverkan samt avvikelser eller korrigerande åtgärder dokumenterade i REG12.

Policydiagram

Processflödesdiagram som visar identifiering av AI-relaterad behandling av PII i REG02, screening av integritetsrisker och DPIA-styrning i REG04, transparensposter i REG07, rättigheter och mänsklig granskning i REG06, leverantörs- och överföringskontroller i REG08 och REG09, incidenteskalering i REG10 samt övervakning, undantag, korrigerande åtgärder och revisionsbevis i REG12.

Klicka på diagrammet för att visa i full storlek

Innehåll

Identifiering av AI-behandling och REG02-underlag

Screening av integritetsrisker och DPIA-styrning

Transparens, meningsfull information och meddelanden

Mänsklig granskning, invändning och möjlighet att bestrida

Kontroller för leverantörer, personuppgiftsbiträden och internationella överföringar

Övervakning, incidenter, undantag och korrigerande åtgärder

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 4(4)Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(d)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.4Annex A.5Annex A.7Annex A.8Annex A.10

Relaterade policyer

Policy för behandlingsförteckning och rättslig grund

AI-relaterade ändamål, rättslig grund, PII-kategorier, datakällor, utdata och beslutseffekter ska dokumenteras i behandlingsförteckningen.

Policy för integritetsmeddelanden och transparens

AI-relaterad transparens, meningsfull information och versionshantering av meddelanden hanteras genom processen för integritetsmeddelanden.

Policy för hantering av registrerades rättigheter

Begäranden om åtkomst, invändning, rättelse, radering, begränsning, mänsklig granskning och möjlighet att bestrida styrs via arbetsflödet för rättigheter.

Policy för bedömning av integritetsrisker och DPIA

AI-relaterad screening av integritetsrisker, DPIA-styrning, riskbehandling och eskalering av hög kvarstående integritetsrisk är beroende av denna policy.

Policy för inbyggt dataskydd och dataskydd som standard

Systeminförande och ändringskontroller ska omfatta godkända begränsningar för AI-indata, hantering av utdata, åtkomst, loggning och standardinställningar.

Policy för integritetshantering av personuppgiftsbiträden, underbiträden och tredje parter

AI-relaterade leverantörer, personuppgiftsbiträden, underbiträden, mottagare i upplägg för datadelning och skyldigheter att bistå styrs via REG08.

Om Clarysecs policyer - Integritetspolicy för AI och automatiserat beslutsfattande

AI-relaterad integritetsstyrning brister när profilering, poängsättning, rekommendation och automatiserat beslutsfattande inte kopplas till PII-förteckningar, riskbedömning, transparens, hantering av rättigheter, leverantörsstyrning, överföringar, incidenter och ständig förbättring. Denna policy definierar obligatoriska integritetskrav för AI-relaterad behandling av PII inom PIMS-omfattningen och gäller i sammanhang som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde. Den kräver att AI-relaterade aktiviteter identifieras, dokumenteras, riskbedöms, görs transparenta, kan bestridas, övervakas och kontrolleras genom REG02, REG04, REG06, REG07, REG08, REG09, REG10 och REG12, samtidigt som den uttryckligen undviker dubbla AI-specifika register eller separata styrningsartefakter.

Definierad AI-omfattning

Omfattar AI-system, profilering, poängsättning, rekommendationer, beslutsstöd och automatiserade beslut som omfattar PII.

Risk- och DPIA-styrning

Kräver screening av integritetsrisker, DPIA-beslut och eskalering för AI-relaterad behandling av PII med hög risk.

Vägar för mänsklig granskning

Dokumenterar rättigheter, invändning, förklaring, mänsklig granskning och vägar för möjligheten att bestrida för berörda registrerade.

Kanoniskt underlag

Bevarar underlag för AI-integritet i befintliga PIMS-objekt i stället för separata AI-specifika register.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Dataskydd juridik regelefterlevnad IT-säkerhet DPO-kontor

🏷️ Ämnestäckning

Ledningssystem för hantering av integritetsinformation behandling av personuppgifter hantering av registrerades rättigheter konsekvensbedömning av integritetsrisker register över behandlingsaktiviteter inbyggt dataskydd hantering av tredje parter
€59

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
AI and Automated Decision-Making Privacy Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 5