Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.2.8: Gesamentlike PII-beheerder

Beheer A.1.2.8 vereis dat organisasies die onderskeie rolle en verantwoordelikhede vir PII-verwerking met enige gesamentlike PII-beheerder bepaal en daaroor ooreenkom. Gesamentlike beheerderskap skep gedeelde verpligtinge wat formeel gedokumenteer moet word.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.2.8?

Die organisasie moet die onderskeie rolle en verantwoordelikhede vir die verwerking van PII (insluitend PII-beskerming en sekuriteitsvereistes) met enige gesamentlike PII-beheerder bepaal.

Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2). Dit spreek 'n spesifieke maar toenemend algemene scenario aan: waar twee of meer organisasies gesamentlik die doeleindes en middele van PII-verwerking bepaal. Anders as die beheerder-verwerker-verhouding wat deur A.1.2.7 Kontrakte met PII-verwerkers, gesamentlike beheerderskap behels gedeelde besluitnemingsgesag — en dus gedeelde aanspreeklikheid.

Gesamentlike beheerderskap ontstaan ​​wanneer organisasies saamwerk aan aktiwiteite wat PII behels – byvoorbeeld gesamentlike bemarkingsveldtogte, gedeelde platforms, navorsingsvennootskappe of geïntegreerde dienste waar beide partye beïnvloed watter data ingesamel word en hoe dit gebruik word.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.2.8) verskaf die volgende riglyne:

  • Stem saam oor onderskeie verantwoordelikhede — Gesamentlike beheerders moet ooreenkom oor watter organisasie verantwoordelik is vir elke verpligting wat voortspruit uit die verwerking van persoonlike inligting, veral met betrekking tot:
    • Uitoefening van PII-hoofregte (toegangversoeke, uitwissing, regstelling, oordraagbaarheid)
    • Verskaffing van vereiste inligting aan PII-hoofde (privaatheidskennisgewings, deursigtigheidsverpligtinge)
    • Implementering van veiligheidsmaatreëls
    • Oortredingkennisgewing
    • Sien ook A.1.2.2: Identifiseer en dokumenteer doel vir verwante vereistes
    • Sien ook A.1.2.3: Identifiseer die wettige basis vir verwante vereistes
  • Maak die reëling beskikbaar aan PII-hoofde — Die kern van die gesamentlike beheerooreenkoms moet beskikbaar gestel word aan die individue wie se PII verwerk word, sodat hulle weet watter organisasie om te kontak vir wat
  • Dokumenteer die reëling formeel — Alhoewel die beheermaatreël nie die woord “kontrak” gebruik nie, impliseer die vereiste om rolle en verantwoordelikhede te “bepaal” 'n formele, gedokumenteerde ooreenkoms tussen die partye.

Die riglyne erken dat een gesamentlike beheerder in die praktyk die leiding kan neem met sekere verpligtinge (soos om die primêre kontakpunt vir versoeke van data-onderwerpe te wees), maar dit onthef nie die ander beheerders van hul verantwoordelikhede nie.

Hoe pas dit by die GDPR?

Beheer A.1.2.8 karteer direk na BBP Artikel 26:

  • Artikel 26 (1) — Waar twee of meer beheerders gesamentlik die doeleindes en middele van verwerking bepaal, moet hulle op 'n deursigtige wyse hul onderskeie verantwoordelikhede vir die nakoming van die verpligtinge kragtens die BBP, veral met betrekking tot die uitoefening van data-onderwerpregte en hul onderskeie pligte om inligting te verskaf
  • Artikel 26 (2) — Die reëling moet die onderskeie rolle en verhoudings van die gesamentlike beheerders teenoor die datasubjekte behoorlik weerspieël. Die kern van die reëling moet aan die datasubjek beskikbaar gestel word.
  • Artikel 26 (3) — Ongeag die bepalings van die reëling, kan datasubjekte hul regte kragtens die GDPR uitoefen ten opsigte van en teen elk van die beheerders. Dit is 'n belangrike punt — interne ooreenkomste kan nie die regte van PII-prinsipale beperk nie.

Artikel 26(3) is veral belangrik: selfs al stem die gesamentlike beheerders saam dat Organisasie A alle versoeke van data-onderwerpe hanteer, kan 'n individu steeds hul versoek aan Organisasie B rig, wat dit dan óf moet hanteer óf dit gepas moet aanstuur. Beide organisasies bly aanspreeklik.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun die Aanspreeklikheid beginsel in ISO 29100. Verantwoordbaarheid vereis dat die verwerking van persoonlike inligting (PII) die verantwoordelikheid is van duidelik geïdentifiseerde partye wat aanspreeklik gehou kan word vir hul optrede. Gesamentlike beheer skep 'n situasie waar aanspreeklikheid eksplisiet toegeken moet word – sonder 'n formele ooreenkoms kan dit onduidelik wees watter organisasie verantwoordelik is vir watter verpligting, wat die hele aanspreeklikheidsraamwerk ondermyn.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.2.8 beoordeel word, sal ouditeure tipies kyk na:

  • Gesamentlike beheerderregister — 'n Gedokumenteerde lys van alle gesamentlike beheerooreenkomste waarby die organisasie 'n party is, met die identiteit van elke gesamentlike beheerder en die verwerkingsaktiwiteite wat gedek word.
  • Gesamentlike beheerooreenkomste — Getekende, skriftelike ooreenkomste wat die toewysing van verantwoordelikhede tussen die partye uiteensit
  • Verantwoordelikheidsmatriks — 'n Duidelike kartering van watter beheerder watter verpligting hanteer (regte van die betrokke persoon, kennisgewing van oortredings, sekuriteit, deursigtigheid)
  • PII hoofkommunikasie — Bewyse dat die kern van die gesamentlike beheerooreenkoms aan PII-prinsipale gekommunikeer word, tipies deur privaatheidskennisgewings of toegewyde inligtingsbladsye.
  • Kontakpuntbenaming — 'n Gedokumenteerde enkele kontakpunt vir PII-hoofde, selfs waar verantwoordelikhede tussen beheerders verdeel word
  • Operasionele prosedures — Prosesse vir die hantering van scenario's waar 'n PII-prinsipaal die "verkeerde" beheerder kontak (bv. aanstuurprosedures, reaksietydooreenkomste)

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.2.7 Kontrakte met PII-verwerkers Verskillende kontraktuele vereistes geld, afhangende van of 'n verhouding gesamentlike beheerderskap of beheerder-verwerker is.
A.1.3.3 Inligting vir PII-hoofde Gesamentlike beheerders moet ooreenkom oor wie watter inligting verskaf en hoe
A.1.3.2 Verpligtinge teenoor PII-hoofde Verantwoordelikheid vir die hantering van versoeke van 'n betrokke persoon moet tussen gesamentlike beheerders toegeken word
A.1.2.6 Impakbepaling vir privaatheid Gesamentlike verwerkingsreëlings kan PIA-vereistes aan die gang sit
A.1.5.2 Basis vir PII-oordrag tussen jurisdiksies Die deel van PII tussen gesamentlike beheerders moet gereguleer word
A.1.2.9 Rekords van Verwerking van PII Verwerkingsrekords moet gesamentlike beheerreëlings identifiseer

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe het hierdie vereiste as Klousule 7.2.7 (gesamentlike PII-beheerder) verskyn. Die kernvereiste is onveranderd — gesamentlike beheerders moet ooreenkom oor hul onderskeie verantwoordelikhede. Die 2025-herstrukturering na Tabel A.1 bied duideliker skeiding tussen die beheerverklaring (A.1.2.8) en riglyne (B.1.2.8). Die klem op die beskikbaarstelling van die reëling aan PII-prinsipale is behou, wat die deursigtigheidsvereistes weerspieël wat fundamenteel is vir beide ISO 27701 en die GDPR. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van gesamentlike beheerderreëlings?

ISMS.aanlyn help jou om gesamentlike beheerderskap met duidelikheid te formaliseer, op te spoor en te operasionaliseer:

  • Gesamentlike beheerderregister — Dokumenteer elke gesamentlike beheerooreenkoms met die betrokke partye, verwerkingsaktiwiteite wat gedek word en ooreenkomsstatus
  • Verantwoordelikheidstoewysingsjablone — Voorafgeboude verantwoordelikheidsmatrikse wat die regte van die betrokke persoon, kennisgewing van oortredings, sekuriteit en deursigtigheid dek, sodat niks deur die krake val nie
  • Ooreenkomsbestuur — Stoor, weergawebeheer en hersien gesamentlike beheerderooreenkomste saam met u ander voldoeningsdokumentasie
  • Gekoppelde privaatheidskennisgewings — Koppel gesamentlike beheerreëlings aan die privaatheidskennisgewings wat PII-hoofde inlig, en verseker dat deursigtigheidsvereistes nagekom word.
  • Kruisorganisasie-werkstrome — Definieer en volg prosedures vir die aanstuur van versoeke van data-onderwerpe tussen gesamentlike beheerders met SLA-monitering
  • Oudit-gereed bewyse — Genereer voldoeningsbewyspakkette wat die toewysing van verantwoordelikhede en die operasionele implementering daarvan demonstreer

Vrae & Antwoorde

Hoe bepaal ons of 'n verhouding gesamentlike beheerderskap of beheerder en verwerker is?

Die kernvraag is wie bepaal die doeleindes en middele van verwerking. As beide organisasies beïnvloed waarom en hoe PII verwerk word, is dit gesamentlike beheerderskap. As een organisasie die doel bepaal en die ander bloot op instruksies optree, is dit 'n beheerder-verwerker-verhouding. In die praktyk val baie verhoudings in 'n grys area. Oorweeg: het die ander party sy eie belang in die verwerkingsuitkoms? Besluit dit watter data om in te samel of hoe om dit te gebruik? Indien wel, is dit waarskynlik 'n gesamentlike beheerder eerder as 'n verwerker.

Kan een gesamentlike beheerder aanspreeklik gehou word vir die ander se mislukkings?

Ingevolge Artikel 26(3) van die AVG kan PII-prinsipale hul regte teen enige van die gesamentlike beheerders uitoefen, ongeag interne ooreenkomste. Dit beteken dat indien een beheerder versuim om 'n versoek van 'n datasubjek te hanteer, die ander aanspreeklik gehou kan word. Toesighoudende owerhede kan ook handhawingsaksie teen enige of alle gesamentlike beheerders neem. Interne ooreenkomste kan finansiële aanspreeklikheid tussen die partye toewys, maar hulle kan nie die regte van PII-prinsipale of die bevoegdhede van reguleerders beperk nie.

Wat moet ons vir PII-hoofde sê oor die gesamentlike beheerderskap?

Die kern van die reëling moet aan PII-prinsipale beskikbaar gestel word. Dit moet ten minste die volgende insluit: die identiteit van elke gesamentlike beheerder, die tipes verwerking waarvoor elkeen verantwoordelik is, en hoe PII-prinsipale hul regte kan uitoefen (insluitend 'n kontakpunt). Hierdie inligting word tipies in die privaatheidskennisgewing verskaf. Dit hoef nie elke detail van die interne ooreenkoms bekend te maak nie – net genoeg sodat individue kan verstaan ​​wie verantwoordelik is en hoe om kontak te maak.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.