Wat vereis beheer A.1.2.6?
Die organisasie moet die behoefte aan, en waar toepaslik, 'n privaatheidsimpakstudie implementeer wanneer nuwe verwerking van PII of veranderinge aan bestaande verwerking van PII beplan word.
Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2). Anders as die voorafgaande beheermaatreëls wat fokus op wettige basis en toestemming, stel A.1.2.6 'n risiko-assessering vereiste. Dit vereis 'n tweefase-benadering: eerstens, bepaal of 'n PIA nodig is (’n siftingstap), en tweedens, indien nodig, voer dit uit voordat verwerking begin.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.2.6) verskaf die volgende riglyne:
- Tydsberekening is krities — PIA's moet uitgevoer word voor verwerking begin. Hulle is 'n voorkomende maatreël, nie 'n terugwerkende regverdiging nie
- Die PIA moet assesseer:
- Noodsaaklikheid en proporsionaliteit — Is die verwerking nodig vir die vermelde doel, en is die hoeveelheid PII wat ingesamel word proporsioneel tot wat nodig is?
- Risiko's vir PII-hoofde — Watter potensiële skade kan voortspruit uit die verwerking, insluitend ongemagtigde toegang, verlies, diskriminasie of reputasieskade?
- Voorgestelde versagtingsmaatreëls — Watter beheermaatreëls, voorsorgmaatreëls of ontwerpkeuses sal die geïdentifiseerde risiko's tot 'n aanvaarbare vlak verminder?
- Sien ook A.1.2.4: Bepaal wanneer en hoe toestemming verkry moet word vir verwante vereistes
- Sien ook A.1.2.5: Verkry en teken toestemming aan vir verwante vereistes
- Resultate behoort te wees gedokumenteer en gebruik om verwerkingsbesluite te beïnvloed — die PIA is nie 'n blokkie-oefening nie, maar 'n besluitnemingsinstrument
- Die verwysings na die leiding ISO / IEC 29134 (Riglyne vir privaatheidsimpakbepaling) as die gedetailleerde metodologiestandaard vir die uitvoering van PIA's
Prakties beteken dit dat organisasies beide 'n siftingsproses (om te besluit wanneer 'n PIA vereis word) en 'n PIA-metodologie (om die assessering uit te voer wanneer dit geaktiveer word) nodig het.
Hoe pas dit by die GDPR?
Beheer A.1.2.6 karteer na 'n aansienlike blok van BBP bepalings:
- Artikel 35(1)–(11) — Die vereistes vir die impakbepaling van databeskerming (DPIA). Die BBP vereis DPIA's waar verwerking "waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone sal inhou" en stel minimum inhoudvereistes uiteen, insluitend: 'n sistematiese beskrywing van verwerking, assessering van noodsaaklikheid en proporsionaliteit, assessering van risiko's en maatreëls om risiko's aan te spreek
- Artikel 36(1) (nie in Aanhangsel D gekarteer nie, maar nou verwant)–(5) — Voorafgaande konsultasie met die toesighoudende owerheid. Waar 'n DPIA 'n hoë oorblywende risiko aandui wat nie verminder kan word nie, moet die beheerder die toesighoudende owerheid raadpleeg voordat verwerking begin.
Die GDPR se DPIA-vereiste is meer voorskriftelik as die ISO 27701-beheer — dit vereis assessering vir hoërisiko-verwerking, terwyl A.1.2.6 vereis dat organisasies beoordeel die behoefte vir 'n PIA vir enige nuwe of veranderde verwerking. In die praktyk sal die implementering van A.1.2.6 aan die GDPR DPIA-vereiste voldoen, mits die siftingskriteria alle Artikel 35-snellerscenario's vasvang.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun verskeie ISO 29100-privaatheidsbeginsels:
- Toestemming en keuse — PIA's help om te identifiseer waar toestemmingsmeganismes ontwerp of versterk moet word
- Versamelingsbeperking — Die noodsaaklikheids- en proporsionaliteitsbeoordeling spreek direk aan of te veel persoonlike inligting ingesamel word
- Privaatheidsnakoming — PIA's is 'n meganisme om voldoening aan privaatheidsvereistes te verifieer en te demonstreer voordat verwerking begin
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.2.6 beoordeel word, sal ouditeure tipies kyk na:
- PIA-siftingskriteria — ’n Gedokumenteerde drempel of kontrolelys wat gebruik word om te bepaal of ’n volledige PIA vir ’n gegewe verwerkingsaktiwiteit of verandering vereis word
- Siftingsrekords — Bewyse dat die siftingsproses op nuwe en veranderde verwerkingsaktiwiteite toegepas is, insluitend gevalle waar 'n volledige PIA uitgevoer is nie nodig geag (met gedokumenteerde motivering)
- Voltooide PIA-verslae — Volledige assesseringsdokumente wat noodsaaklikheid, proporsionaliteit, risiko-analise en voorgestelde versagtingsmaatreëls dek
- Besluite oor risikobehandeling — Bewyse dat daar op PIA-bevindinge opgetree is — versagtingsmaatreëls geïmplementeer, verwerking gewysig, of in sommige gevalle verwerking gestaak
- Aftekenrekords — Goedkeuring van toepaslike belanghebbendes (bv. DPO, senior bestuur) dat die PIA hersien is en die oorblywende risiko aanvaar is
- Rekords van vorige konsultasies — Waar die oorblywende risiko na versagting hoog gebly het, bewys dat die toesighoudende owerheid geraadpleeg is (GDPR Artikel 36)
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.2.2 Identifiseer en dokumenteer doel | Doeldokumentasie is 'n inset tot die PIA — jy kan nie noodsaaklikheid beoordeel sonder om die doel te ken nie |
| A.1.2.3 Identifiseer die wettige basis | Die PIA moet verifieer dat 'n geldige wettige basis vir die beplande verwerking bestaan |
| A.1.4.3 Beperk verwerking | Die proporsionaliteitsbeoordeling in die PIA beïnvloed data-minimaliseringsbesluite |
| A.1.4.6 PII-de-identifikasie en -verwydering | PIA's kan de-identifikasie of verwydering as 'n risikobeperkingsmaatreël identifiseer |
| A.1.2.7 Kontrakte met PII-verwerkers | Waar verwerking derdeparty-verwerkers behels, moet die PIA verwerkerverwante risiko's assesseer |
| ISO / IEC 29134 | Die verwysde standaard wat gedetailleerde PIA-metodologie en -riglyne verskaf |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe het hierdie vereiste as Klousule 7.2.5 (privaatheidsimpakstudie) verskyn. Die kernvereiste is onveranderd — beoordeel die behoefte aan 'n PIA en voer een uit waar toepaslik. Die 2025-herstrukturering na Tabel A.1 bied duideliker skeiding tussen die beheerverklaring (A.1.2.6) en riglyne (B.1.2.6). Die verwysing na ISO/IEC 29134 as die gedetailleerde PIA-metodologiestandaard is behou, wat beklemtoon dat organisasies 'n gestruktureerde benadering eerder as 'n ad hoc-assessering moet volg. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir privaatheidsimpakstudies?
ISMS.aanlyn bied 'n end-tot-end PIA-werkvloei wat jou van sifting tot aftekening neem:
- PIA-siftingsinstrument — ’n Ingeboude vraelys wat bepaal of ’n volledige assessering nodig is, met gedokumenteerde motivering vir elke besluit
- Gestruktureerde PIA-sjablone — Voorafgeboude assesseringsjablone in lyn met ISO/IEC 29134, wat assessore deur noodsaaklikheid, proporsionaliteit, risiko-identifikasie en mitigasiebeplanning lei
- Risikotelling en hittekaarte — Visuele risiko-analise met waarskynlikheids- en impaktelling, wat dit maklik maak om versagtings te prioritiseer en bevindinge aan belanghebbendes te kommunikeer
- Versagtingsopsporing — Ken risikobehandelingsaksies aan eienaars toe met sperdatums, en volg implementeringsvordering binne dieselfde platform
- Goedkeuringswerkstrome — Stuur voltooide PIA's na die DPO of senior bestuur vir hersiening en goedkeuring, met 'n volledige ouditspoor van die goedkeuringsproses.
- Gekoppelde bewyse — Verbind PIA's met die verwerkingsaktiwiteite, wettige basisse en toestemmingsrekords waarmee hulle verband hou, wat 'n volledige voldoeningsbeeld skep
Vrae & Antwoorde
Wanneer is 'n privaatheidsimpakstudie verpligtend?
Onder ISO 27701:2025 is 'n PIA nie outomaties verpligtend vir elke verwerkingsaktiwiteit nie — die beheer vereis dat jy beoordeel die behoefte vir een. Ingevolge Artikel 35 van die AVG is 'n DPIA egter verpligtend waar verwerking waarskynlik 'n hoë risiko vir individue se regte inhou. Die Europese Raad vir Databeskerming het kriteria gepubliseer, insluitend: sistematiese evaluering van persoonlike aspekte (profilering), grootskaalse verwerking van spesiale kategorieë, en sistematiese monitering van publiek toeganklike areas. Organisasies moet hierdie snellers in hul siftingskriteria inbou.
Kan 'n PIA gedoen word nadat verwerking reeds begin het?
Die standaard en GDPR verwag beide dat PIA's uitgevoer word voor verwerking begin. Indien u egter ontdek dat 'n PIA gedoen moes gewees het en nie gedoen is nie, is dit beter om een retrospektief uit te voer as om glad nie een te doen nie. Die retrospektiewe PIA kan risiko's identifiseer wat onmiddellike versagting of selfs staking van verwerking vereis. Ouditeure sal die tydsgaping in ag neem, maar sal 'n laat PIA gunstiger beskou as geen PIA nie.
Hoe gereeld moet bestaande PIA's hersien word?
PIA's moet hersien word wanneer daar 'n wesenlike verandering aan die verwerking wat hulle dek, is – soos nuwe datakategorieë, nuwe ontvangers, veranderinge in tegnologie of veranderinge in die regulatoriese omgewing. Beste praktyk is ook om 'n periodieke hersieningskedule (bv. jaarliks) op te stel om inkrementele veranderinge op te spoor wat dalk nie 'n individuele hersiening veroorsaak het nie. Die hersiening moet bepaal of die oorspronklike risiko-analise en versagtingsmaatreëls steeds geldig is.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.
A gapingsanalise kan jou help om te bepaal of jou huidige PIA-proses aan die 2025-vereistes voldoen.
