Wat vereis beheer A.1.2.5?
Die organisasie moet toestemming van PII-hoofde verkry en aanteken volgens die gedokumenteerde prosesse.
Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2) en verteenwoordig die operasionele stap wat volg A.1.2.4 Bepaal Toestemming (ontwerp van die toestemmingsproses). Waar A.1.2.4 Bepaal Toestemming definieer hoe toestemming sal ingewin word, A.1.2.5 verseker dat die organisasie werklik deurvoer — toestemming in die praktyk verkry en rekords byhou wat dit bewys.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.2.5) verskaf die volgende riglyne:
- Die organisasie moet kan aantoon dat toestemming gegee is vrylik gegee — PII-hoofde mag nie gedwing, gepenaliseer word vir weiering, of voorafgemerkte blokkies aangebied word nie
- Toestemming moet wees spesifieke — gekoppel aan 'n spesifieke, duidelik geartikuleerde verwerkingsdoel eerder as 'n algemene goedkeuring
- Toestemming moet wees ondubbelsinnig en eksplisiet — uitgedruk deur 'n duidelike regstellende aksie (bv. 'n blokkie merk, 'n knoppie klik, 'n vorm teken) eerder as afgelei van stilte of onaktiwiteit
- Toestemmingsrekords moet die volgende vasvang:
- Die identiteit van die PII-prinsipaal (of 'n skuilnaam-identifiseerder wat teruggekoppel kan word)
- Die datum en tyd toestemming is gegee
- Die toestemmingsverklaring — die spesifieke terme waarmee die PII-prinsipaal ingestem het
- Sien ook A.1.2.6: Impakassessering vir privaatheid vir verwante vereistes
- Sien ook A.1.2.7: Kontrakte met PII-verwerkers vir verwante vereistes
Hierdie drie elemente – vrylik gegee, spesifiek, en ondubbelsinnig en eksplisiet – stem ooreen met die BBPse definisie van geldige toestemming en het die de facto internasionale standaard vir toestemmingskwaliteit geword.
Hoe pas dit by die GDPR?
Beheer A.1.2.5 karteer na die volgende BBP bepalings:
- Artikel 7 (1) — Waar verwerking op toestemming gebaseer is, moet die beheerder kan aantoon dat die betrokke persoon toestemming gegee het. Dit is die direkte aanspreeklikheidsvereiste — jy moet rekords hou.
- Artikel 7 (2) — Indien toestemming gegee word in 'n skriftelike verklaring wat ook ander sake raak, moet die versoek om toestemming duidelik onderskeibaar wees, in verstaanbare en maklik toeganklike vorm, en in duidelike en eenvoudige taal.
- Artikel 9 (2) (a) — Vir spesiale kategorieë data word uitdruklike toestemming vereis. Dit verhoog die standaard van standaard toestemming — die PII-prinsipaal moet hul toestemming uitdruklik bevestig, tipies deur 'n bykomende bevestigende stap.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Toestemming en keuse beginsel in ISO 29100. Terwyl A.1.2.4 Bepaal Toestemming spreek die ontwerp van die toestemmingsmeganisme aan, A.1.2.5 spreek die uitvoering daarvan aan — om te verseker dat die PII-prinsipaal se keuse eintlik vasgelê en as bewys bewaar word. Saam bied hierdie beheermaatreëls die volledige implementering van die toestemming- en keusebeginsel.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.2.5 beoordeel word, sal ouditeure tipies kyk na:
- Toestemmingsrekordsdatabasis — 'n Gesentraliseerde berging van toestemmingsrekords met die drie vereiste elemente: identifikasie van die PII-hoof, tyd waarop toestemming verskaf is, en die toestemmingsverklaring
- Voorbeeld toestemmingsrekords — Ouditeure sal tipies 'n steekproef trek om volledigheid te verifieer, en seker maak dat alle velde ingevul is en dat tydstempels geloofwaardig is.
- Skermkiekies van toestemmingsmeganisme — Bewyse van die werklike koppelvlak of vorm wat aan PII-prinsipale aangebied word, wat geen voorafgemerkte blokkies en duidelike regstellende aksievereistes toon nie.
- Weergawe geskiedenis — Rekords van watter toestemmingsbewoording in gebruik was ten tyde van elke toestemming verkry is, nie net die huidige weergawe nie
- Eksplisiete toestemming vir spesiale kategorieë — Verbeterde rekords vir sensitiewe dataverwerking, wat die bykomende regstellende stap toon wat geneem is
- Onttrekkingsrekords — Bewyse dat versoeke om toestemming terug te trek, opgevolg is en dat verwerking gestaak is (skakels na A.1.3.5 Wysig of Trek Toestemming In)
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.2.4 Bepaal toestemming | Definieer die toestemmingsproses wat A.1.2.5 implementeer |
| A.1.2.3 Identifiseer die wettige basis | Toestemmingsopname word slegs vereis waar toestemming die gekose wettige basis is. |
| A.1.3.5 Wysig of Trek Toestemming In | Deurlopende bestuur van toestemming, insluitend verversings- en terugtrekkingsmeganismes |
| A.1.3.3 Inligting vir PII-hoofde | Inligtingverskaffing is 'n voorvereiste vir geldige ingeligte toestemming |
| A.1.2.2 Identifiseer en dokumenteer doel | Toestemming moet verwys na die spesifieke gedokumenteerde doel |
| A.1.2.9 Rekords van Verwerking van PII | Toestemmingsrekords vorm deel van die breër verwerkingsrekords |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe het hierdie vereiste verskyn as Klousule 7.2.4 (verkry en teken toestemming op). Die inhoud van die beheer is onveranderd in die 2025-uitgawe — die drie eienskappe van geldige toestemming (vrylik gegee, spesifiek, en ondubbelsinnig en eksplisiet) en die drie elemente van 'n toestemmingsrekord (identifikasie, tyd en toestemmingsverklaring) bly dieselfde. Die herstrukturering in Tabel A.1 verskaf 'n skoner verwysingsstruktuur met die beheerverklaring in A.1.2.5 en implementeringsriglyne in B.1.2.5. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir toestemmingsrekordbestuur?
ISMS.aanlyn maak dit maklik om geldige toestemming te verkry, te stoor en te demonstreer:
- Gesentraliseerde toestemmingsregister — Stoor alle toestemmingsrekords op een soekbare plek met die vier vereiste velde (identiteit, datum/tyd, doel, inligting verskaf) wat standaard vasgelê word.
- Tydstempel ouditroete — Elke toestemmingsgebeurtenis word outomaties met 'n tydstempel en is onveranderlik, wat ouditeure die bewyse gee wat hulle benodig sonder handmatige rekordhouding
- Weergawe-beheerde toestemmingsbewoording — Bewaar 'n geskiedenis van elke toestemmingsvormweergawe sodat u kan bewys watter bewoording in gebruik was toe elke toestemming ingesamel is.
- Onttrekkingsopsporing — Teken toestemmingsintrekkings saam met die oorspronklike toestemming aan, met outomatiese taakskepping om te verseker dat verwerking onmiddellik staak
- Grootmaatuitvoer vir oudits — Voer toestemmingsrekords uit volgens datumreeks, doel of verwerkingsaktiwiteit om bewyspakkette vinnig te bou wanneer oudittyd aanbreek
- Spesiale kategorie-vlaggewing — Identifiseer outomaties waar eksplisiete toestemming vereis word en vra vir die verbeterde regstellende aksiestap
Vrae & Antwoorde
Hoe lank moet toestemmingsrekords bewaar word?
Toestemmingsrekords moet bewaar word vir ten minste so lank as wat die verwerking wat hulle magtig voortduur, plus enige tydperk wat deur toepaslike wetgewing vereis word om voldoening aan te toon. Ingevolge die AVG beteken die aanspreeklikheidsbeginsel dat u moet kan bewys dat geldige toestemming bestaan het vir die volle duur van die verwerking. Baie organisasies behou toestemmingsrekords vir die statutêre verjaringstydperk (gewoonlik 6 jaar in die VK) nadat die verwerking eindig, in geval van regulatoriese betwisting.
Wat tel as 'n duidelike regstellende aksie?
'n Regstellende aksie vereis 'n doelbewuste, positiewe stap deur die PII-prinsipaal. Voorbeelde sluit in: die merk van 'n ongemerkte blokkie, die klik van 'n duidelik gemerkte "Ek stem saam"-knoppie, die ondertekening van 'n vorm, of die verskaffing van 'n mondelinge verklaring wat opgeneem word. Stilte, voorafgemerkte blokkies, voortgesette blaai en versuim om uit te teken, is... nie regstellende aksies en vorm nie geldige toestemming onder hierdie beheer of onder GDPR nie.
Is elektroniese toestemming net so geldig soos skriftelike toestemming?
Ja. ISO 27701:2025 skryf nie die formaat van toestemming voor nie – elektroniese en skriftelike toestemming is ewe geldig mits hulle aan die drie kwaliteitskriteria voldoen (vrylik gegee, spesifiek, en ondubbelsinnig en eksplisiet). Elektroniese toestemming kan eintlik makliker bewysbaar wees omdat digitale stelsels outomaties tydstempels, IP-adresse en die presiese weergawe van die inligting wat aangebied word, kan vaslê. Die sleutel is dat jou opnamemeganisme al drie vereiste elemente betroubaar vaslê.
Dokumenteer hoe hierdie beheer op u organisasie van toepassing is in u Verklaring van toepaslikheid.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.
