policy ISO 27701 PIMS Policy Pack

Policy för personuppgiftsbiträden i molntjänster

ISO 27701-anpassad policy för personuppgiftsbiträden i molntjänster som omfattar kundinstruktioner, underbiträden, åtkomst, överföringar, radering, stöd vid personuppgiftsincidenter och underlag.

Översikt

Policy för personuppgiftsbiträden i molntjänster definierar hur behandling av personuppgifter i molntjänster ska styras när organisationen agerar som personuppgiftsbiträde eller underbiträde. Den omfattar kundinstruktioner, delat ansvar, tenantisolering, underbiträden, överföringar, radering, stöd vid personuppgiftsincidenter, revisioner och underlag inom REG02, REG03, REG08, REG09, REG10 och REG12.

Kontroll av personuppgiftsbiträden i molntjänster

Definierar obligatoriska integritetskrav för behandling av personuppgifter i SaaS, PaaS, IaaS, driftade och hanterade molntjänster, lagring, analys och infrastruktur.

Instruktionsstyrd behandling

Kräver att kundinstruktioner eller instruktioner från föregående personuppgiftsbiträde registreras, granskas och följs innan behandling av personuppgifter i molntjänster påbörjas.

Styrning av underbiträden

Omfattar godkännande av underbiträden i molntjänster, vidareförda skyldigheter, platser, ändringsmeddelanden, övervakning och underlag vid avslut.

Underlag för avslut

Kräver underlag för återlämning, överföring, radering, bortskaffning och avslut av underbiträden för produktionssatta system, säkerhetskopior, loggar och supportkopior.

Läs fullständig översikt (click to expand)
Policy för personuppgiftsbiträden i molntjänster definierar obligatoriska integritetskrav för molntjänster där organisationen agerar som personuppgiftsbiträde eller underbiträde. Omfattningen inkluderar SaaS, PaaS, IaaS, driftade applikationer, hanterade molntjänster, molnsupport, molnlagring, molnanalys och molninfrastrukturtjänster som behandlar personuppgifter för kunders räkning. Policyn är utformad för att hålla behandling i molntjänster anpassad till dokumenterade kundavtal, kundinstruktioner, instruktioner från föregående personuppgiftsbiträde, upplägg för underbiträden, konfiguration av molnregioner, åtkomst till molnsupport, tjänsteadministration, säkerhetskopiering, replikering, loggning, övervakning, radering, återlämning, stöd vid personuppgiftsincidenter, revisionsstöd och skyldigheter att bistå kunder. Ett centralt syfte med policyn är underlagsstyrd kontroll. Före kundintroduktion eller väsentlig tjänsteförändring ska Integritetsansvarig / PIMS-ansvarig registrera varje tjänst för behandling av personuppgifter i molntjänster, behandlingsroll, källa till kundinstruktion, kategorier av personuppgifter, kategorier av registrerade, tjänstens ändamål, behandlingsplats, beroende av underbiträde, raderingsberoende och överföringsmarkering i REG02 och REG08. Policyn kräver även att kontrolltillämplighet för personuppgiftsbiträden i molntjänster registreras i REG03, att routning för överföringar och platser dokumenteras i REG09 där relevant, att personuppgiftsincidenter i molntjänster hanteras genom REG10 samt att övervakning, undantag, tvister, valideringsresultat och korrigerande åtgärder hanteras genom REG12. Detta håller skyldigheter för personuppgiftsbiträden i molntjänster integrerade med den befintliga PIMS-policyuppsättningen och undviker separata register för avtal, tjänster, tenantisolering, åtkomst, loggar, radering, support, revisioner, personuppgiftsincidenter eller underbiträden. Policyn anger praktiska krav över molntjänstens livscykel. Den kräver dokumenterade kundinstruktioner eller instruktioner från föregående personuppgiftsbiträde innan behandling påbörjas, granskning av instruktioner som verkar oförenliga med skyldigheter eller godkänd tjänsteomfattning samt godkännande innan kundens personuppgifter behandlas utanför dokumenterade instruktioner. Den behandlar även molnkonfiguration och säkerhetsunderlag genom krav på gränser för delat ansvar, validering av tenantisolering, styrd administrativ åtkomst, kvartalsvis granskning av privilegierad åtkomst och loggtäckning, separering av miljöer samt registrerade platser för säkerhetskopiering, replikering, logglagring och supportåtkomst. Dessa krav är avsiktligt kopplade till befintliga säkerhetskontroller för personuppgifter i stället för att ersätta den bredare policyn för säkerhet och åtkomstkontroll av personuppgifter. Styrning av underbiträden och molnbaserad leveranskedja behandlas som centrala skyldigheter för personuppgiftsbiträden. Leverantörs-/upphandlingsansvarig ska registrera underbiträden i molntjänster, infrastrukturleverantörer, driftleverantörer, hanterade tjänsteleverantörer, supportleverantörer och andra väsentliga beroenden av molntjänster före användning. Policyn kräver underlag för kundgodkännande eller dokumenterad godkännandegrund, vidareförda skyldigheter för integritet, säkerhet, bistånd, incidenter, återlämning, radering, revisionsstöd och överföringar samt uppgifter om tjänsteplatser, platser för fjärrsupport, driftregioner och routning för vidareöverföring. Den kräver även kundunderrättelse om avsedda ändringar av underbiträden i molntjänster inom den avtalsenligt föreskrivna underrättelseperioden och minst årlig granskning av aktiva poster för underbiträden i molntjänster och molnberoenden. Policyn omfattar även kundbistånd, revisionsstöd, gränssnitt mot personuppgiftsincidenter, radering och avslut. Skyldigheter att bistå kunder avseende rättighetsbegäranden, radering, rättelse, begränsning, åtkomst, revision, DPIA-stöd och stöd vid personuppgiftsincidenter ska registreras före avtal ingås eller tjänsten aktiveras. Kundbegärt stöd för rättighetsbegäranden ska slutföras inom den tidsram som avtalats med kunden, integritetsbetydande begäranden om DPIA- eller bedömningsstöd ska granskas inom tio arbetsdagar, och försenade eller omtvistade biståndsbegäranden ska följas upp. Vid avslut kräver policyn underlag för export-, återlämnings-, överförings- eller raderingsförmåga före introduktion eller väsentlig tjänsteförändring, slutförande inom kundavtalade tidsramar, inkludering av produktionssatta system, säkerhetskopior, repliker, loggar, temporära filer, stagingmiljöer och supportkopior samt hantering av avvikelse när skyldigheter inte kan slutföras i tid. Styrningen förstärks genom kvartalsvisa granskningar av underlagens fullständighet, årliga policy- och underbiträdesgranskningar, revisionsurval, mätetal, åtgärder för tillämpning och godkännande från högsta ledningen för väsentliga undantag och revideringar.

Policydiagram

Processflödesdiagram som visar styrning av personuppgiftsbiträden i molntjänster från introduktion och inhämtning av kundinstruktioner, via validering av delat ansvar och tenantisolering, godkännande av underbiträden, routning av överföringar, kundbistånd, incidentgränssnitt, radering eller återlämning vid avslut samt kvartalsvis övervakning med undantag och korrigerande åtgärder registrerade i PIMS-register.

Klicka på diagrammet för att visa i full storlek

Innehåll

Omfattning för behandling av personuppgifter i molntjänster och register över kundinstruktioner

Underlag för delat ansvar, tenantisolering, åtkomst och loggning

Styrning av underbiträden och molnbaserad leveranskedja

Plats, fjärråtkomst och routning för internationell överföring

Underlag för återlämning, överföring, radering, bortskaffning och avslut

Övervakning, undantag, tillämpning och korrigerande åtgärder

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Relaterade policyer

Policy för integritetshantering för personuppgiftsbiträden, underbiträden och tredje part

Stöder direkt den livscykelstyrning av underbiträden i molntjänster och tredje part som krävs av denna policy.

Policy för internationella överföringar

Stöder kraven på plats, fjärråtkomst och routning för vidareöverföring av kunders personuppgifter i molntjänster.

Policy för säkerhet och åtkomstkontroll

Tillhandahåller den bredare säkerhets- och åtkomstkontrollarkitekturen för personuppgifter som kontroller för molnåtkomst, loggning och tenantisolering hänvisar till.

Policy för incident- och personuppgiftsincidenthantering

Kopplar detektering av personuppgiftsincidenter i molntjänster, kundunderrättelser och underlag för stöd vid personuppgiftsincidenter till incidentarbetsflödet.

Policy för bevarande, radering och bortskaffning

Stöder kraven på underlag för återlämning, radering, bortskaffning och avslut för kunders personuppgifter och kopior hos underbiträden.

Policy för dokumenterad information och underlagshantering inom PIMS

Stöder den dokumenterade informationen och den kanoniska underlagshanteringen som används inom REG02, REG03, REG08, REG09, REG10 och REG12.

Om Clarysecs policyer - Policy för personuppgiftsbiträden i molntjänster

Policy för personuppgiftsbiträden i molntjänster fastställer operativa integritetskrav för molntjänster där organisationen agerar som personuppgiftsbiträde eller underbiträde. Den kopplar kundinstruktioner, omfattning för behandling i molntjänster, underlag för delat ansvar, tenantisolering, åtkomst, loggning, styrning av underbiträden, plats- och överföringsroutning, radering, återlämning, stöd vid personuppgiftsincidenter, revisionsstöd och övervakning till organisationens PIMS-underlagsmodell. Policyn tilldelar tydliga ansvar till högsta ledningen, Integritetsansvarig / PIMS-ansvarig, Dataskyddsombud / integritetsrådgivare, Informationssäkerhetsansvarig, Processägare / verksamhetsägare, Systemägare / applikationsägare, Leverantörs-/upphandlingsansvarig, Incidenthanteringskoordinator och Internrevision / granskare inom regelefterlevnad. Den använder REG02, REG03, REG08, REG09, REG10 och REG12 för att upprätthålla beredskap för revision och stödja certifieringsberedskap enligt ISO/IEC 27701:2025 för ledningssystem för hantering av integritetsinformation för personuppgiftsbiträden och underbiträden i molntjänster.

Underlagsstyrd behandling

Kopplar skyldigheter för personuppgiftsbiträden i molntjänster till REG02, REG03, REG08, REG09, REG10 och REG12 för register med beredskap för revision.

Styrning av kundinstruktioner

Kräver dokumenterade kundinstruktioner eller instruktioner från föregående personuppgiftsbiträde innan behandling av personuppgifter i molntjänster påbörjas.

Insyn i molnbaserad leveranskedja

Registrerar underbiträden, molnberoenden, godkännandegrund, vidareförda skyldigheter, platser och granskningsunderlag.

Kontrollerad hantering vid avslut

Omfattar underlag för återlämning, överföring, radering och bortskaffning för produktionssatta system, säkerhetskopior, loggar och supportkopior.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Integritet Juridik Regelefterlevnad IT-säkerhet Upphandling

🏷️ Ämnestäckning

Ledningssystem för hantering av integritetsinformation behandling av personuppgifter ansvar för personuppgiftsansvariga och personuppgiftsbiträden tredjepartshantering internationella överföringar av personuppgifter databevarande och bortskaffning hantering av personuppgiftsincidenter
€59

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
Cloud PII Processor Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 9