Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.2.9: Rekords verwant aan die verwerking van persoonlike inligting (PII)

Beheer A.1.2.9 vereis dat organisasies die nodige rekords ter ondersteuning van hul verpligtinge vir die verwerking van persoonlike inligting (PII) bepaal en veilig onderhou. Dit is die ruggraat van verantwoordbaarheid van ISO 27701:2025.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.2.9?

Die organisasie moet die nodige rekords bepaal en veilig onderhou ter ondersteuning van sy verpligtinge vir die verwerking van PII.

Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2), wat daarop gemik is om aan te toon dat verwerking wettig is, met 'n wettige basis volgens toepaslike jurisdiksies, en met duidelik gedefinieerde en wettige doeleindes. Rekordhouding is hoe jy bewys dat alles anders werk.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.2.9) verskaf gedetailleerde leiding oor die kategorieë inligting wat verwerkingsrekords moet bevat:

  • Kategorieë van verwerking — Die tipes verwerkingsoperasies wat op persoonlike inligting uitgevoer word (insameling, berging, oordrag, uitwissing, ens.)
  • Doelwitte van verwerking — 'n Duidelike verklaring van waarom elke kategorie van PII verwerk word, gekoppel aan die doeldokumentasie wat vereis word deur A.1.2.2 Identifiseer en dokumenteer doel
  • Kategorieë van PII en PII-hoofde — Watter tipes persoonlike data word gehou en oor wie (werknemers, kliënte, webwerfbesoekers, ens.)
  • ontvangers — Enige derde partye of verwerkers wat die PII ontvang
  • Internasionale oordragte — Besonderhede van enige oordragte na ander jurisdiksies, insluitend voorsorgmaatreëls wat in plek is
  • Behoudtydperke — Hoe lank elke kategorie van PII gehou word voor verwydering of anonimisering
  • Sekuriteitsmaatreëls — 'n Algemene beskrywing van die tegniese en organisatoriese maatreëls wat die persoonlike inligting beskerm
  • Sien ook A.1.2.4: Bepaal wanneer en hoe toestemming verkry moet word vir verwante vereistes
  • Sien ook A.1.2.5: Verkry en teken toestemming aan vir verwante vereistes

Die riglyne beklemtoon ook dat rekords op datum gehou moet word soos verwerkingsaktiwiteite verander, en op versoek aan toesighoudende owerhede beskikbaar gestel moet word. Dit is nie 'n eenmalige dokumentasie-oefening nie, maar 'n deurlopende operasionele vereiste.

Hoe pas dit by die GDPR?

Beheer A.1.2.9 karteer na verskeie BBP bepalings:

  • Artikel 5 (2) — Die aanspreeklikheidsbeginsel, wat vereis dat beheerders voldoening moet demonstreer
  • Artikel 24 (1) — Verpligting om gepaste maatreëls te implementeer en voldoening te kan demonstreer
  • Artikel 30(1)(ag) — Die gedetailleerde vereistes vir rekords van verwerkingsaktiwiteite wat deur beheerders gehou word
  • Artikel 30(3-5) — Vereistes dat rekords skriftelik (insluitend elektroniese vorm) moet wees, op versoek aan die toesighoudende owerheid beskikbaar gestel moet word, en vrystellings vir organisasies met minder as 250 werknemers (met uitsonderings)

Artikel 30 word wyd beskou as een van die mees operasioneel betekenisvolle BBP vereistes. 'n Goed onderhoude rekord van verwerkingsaktiwiteite (ROPA) is dikwels die eerste dokument wat 'n toesighoudende owerheid tydens 'n ondersoek sal aanvra.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun die Aanspreeklikheid beginsel van ISO 29100. Verantwoordbaarheid vereis dat die organisasie sy privaatheidsverwante beleide en prosedures dokumenteer en kommunikeer, verantwoordelikheid vir die implementering daarvan toewys en bewyse van nakoming handhaaf. Verwerkingsrekords is die primêre middel om daardie verantwoordbaarheid in die praktyk te demonstreer.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.2.9 beoordeel word, sal ouditeure tipies kyk na:

  • Rekord van Verwerkingsaktiwiteite (ROPA) — 'n Omvattende register wat al sewe kategorieë wat in die riglyne gelys word, dek, met bewyse van gereelde hersiening
  • Weergawe beheer — Bewyse dat rekords opgedateer word wanneer verwerkingsaktiwiteite verander, met 'n duidelike ouditspoor van wysigings
  • Eienaarskap en verantwoordelikheid — 'n Benoemde individu of rol wat verantwoordelik is vir die instandhouding van verwerkingsrekords
  • Toeganklikheid — Bewyse dat rekords onmiddellik vir toesighoudende owerhede of ouditdoeleindes voorgelê kan word
  • Volledigheidskontroles — Prosedures om te verseker dat nuwe verwerkingsaktiwiteite in die register vasgelê word voordat verwerking begin
  • Sekuriteit van rekords — Die rekords self bevat sensitiewe inligting en moet toepaslik beskerm word

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.2.2 Identifiseer en dokumenteer doel Doeldokumentasie word direk in verwerkingsrekords ingevoer
A.1.2.3 Identifiseer die wettige basis Die wettige basis vir elke verwerkingsaktiwiteit moet aangeteken word
A.1.4.2 Limietversameling Rekords moet weerspieël watter persoonlike inligting (PII) werklik ingesamel word, wat minimalisering ondersteun.
A.1.4.6 PII-de-identifikasie en -verwydering Bewaringstydperke in rekords dryf verwyderingskedules aan
A.1.5.2 Basis vir PII-oordrag Internasionale oordragbesonderhede wat hier aangeteken is, word uitgebrei in oordragspesifieke kontroles
A.1.3.3 Bepaling van inligting vir PII-hoofde Inligting wat aan PII-hoofde verskaf word, moet ooreenstem met verwerkingsrekords

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe was hierdie vereiste deel van Klousule 7.2.8 (Rekords met betrekking tot die verwerking van PII). Die substantiewe vereistes is dieselfde in 2025, maar die herstruktureerde formaat skei nou die beheerverklaring (A.1.2.9) duideliker van die implementeringsriglyne (B.1.2.9). Die 2025-uitgawe versterk ook die klem op die op datum hou van rekords as 'n deurlopende verpligting eerder as 'n tydstip-oefening. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir PII-verwerkingsrekords?

ISMS.aanlyn bied doelgeboude gereedskap vir die instandhouding van omvattende, ouditeerbare verwerkingsrekords:

  • Voorafgeboude ROPA-sjablone — Begin met 'n gestruktureerde register wat al sewe kategorieë dek wat deur B.1.2.9 vereis word, sodat jy geen vereiste velde mis nie
  • Outomatiese weergawebeheer — Elke verandering aan 'n verwerkingsrekord word nagespoor met tydstempels, gebruikersbesonderhede en veranderingsbeskrywings, wat die ouditroete skep wat ouditeure verwag.
  • Gekoppelde bewyse — Verbind verwerkingsrekords met verwante beleide, toestemmingsrekords, DPIA's en oordragmeganismes in 'n enkele geïntegreerde stelsel
  • Uitvoer van toesighoudende owerheid — Genereer 'n volledige ROPA-uitvoer in formate wat geskik is vir reguleerderversoeke, gereed met die klik van 'n knoppie
  • Hersien onthounotas — Stel hersieningsiklusse vir elke verwerkingsaktiwiteit sodat rekords op datum bly soos u bedrywighede ontwikkel
  • Rolgebaseerde toegang — Verseker dat verwerkingsrekords toeganklik is vir gemagtigde personeel terwyl dit beskerm bly teen ongemagtigde veranderinge

Vrae & Antwoorde

Moet klein organisasies verwerkingsrekords byhou?

Ja. Alhoewel Artikel 30(5) van die AVG 'n beperkte vrystelling bied vir organisasies met minder as 250 werknemers, is hierdie vrystelling nie van toepassing indien die verwerking waarskynlik 'n risiko vir die regte van individue inhou, nie af en toe plaasvind nie, of spesiale kategorieë data insluit. In die praktyk sal die meeste organisasies wat PII sistematies verwerk, rekords moet byhou ongeag die grootte. ISO 27701 self sluit nie 'n vrystelling gebaseer op grootte in nie.

Hoe gereeld moet verwerkingsrekords hersien word?

Rekords moet hersien word wanneer verwerkingsaktiwiteite verander en ten minste as deel van u gereelde bestuursoorsigsiklus. Baie organisasies stel kwartaallikse of sesmaandelikse oorsigdatums vir die volledige register vas, met ad hoc-opdaterings wat veroorsaak word deur nuwe verwerkingsaktiwiteite, veranderinge aan bestaande prosesse of organisatoriese veranderinge soos nuwe stelsels of derdeparty-verhoudings.

Kan 'n sigblad aan hierdie vereiste voldoen?

Tegnies ja, maar sigblaaie het nie weergawebeheer, toegangsbeperkings en outomatiese hersieningsherinneringe nie. Namate verwerkingsaktiwiteite groei, word sigblaaie moeilik om akkuraat te onderhou en is hulle geneig tot foute. 'n Toegewyde voldoeningsplatform bied die struktuur, ouditbaarheid en kruisverwysings wat nodig is om die standaard konsekwent oor tyd te bereik.

Dokumenteer hoe hierdie beheer op u organisasie van toepassing is in u Verklaring van toepaslikheid.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.