Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.3.10: Hantering van Versoeke

Beheer A.1.3.10 vereis dat organisasies beleide en prosedures definieer en dokumenteer vir die hantering en reaksie op wettige versoeke van PII-prinsipale. Dit is die operasionele ruggraat wat alle ander A.1.3-beheermaatreëls saambind.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.3.10?

Die organisasie moet beleide en prosedures definieer en dokumenteer vir die hantering en reaksie op wettige versoeke van PII-prinsipale.

Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3). Dit is die operasionele beheer wat al die individuele regtebeheermaatreëls onderlê: toestemmingonttrekking, beswaar, toegang, regstelling en uitwissing, die verskaffing van kopieë en derdeparty-kennisgewingSonder 'n goed gedefinieerde raamwerk vir versoekhantering word individuele regte teoreties eerder as prakties.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.3.10) verskaf leiding oor die bou van 'n omvattende versoekhanteringsraamwerk:

  • Tydsraamwerke vir reaksie — Definieer duidelike sperdatums vir die erkenning en voltooiing van versoeke, in lyn met toepaslike wetlike vereistes (bv. een maand onder BBP, met moontlike verlenging van twee maande vir komplekse versoeke)
  • Verifikasie prosedures — Stel proporsionele prosedures vas om die identiteit van die versoeker te verifieer voordat die versoek verwerk word
  • Eskalasiepaaie — Definieer wie roetineversoeke hanteer, wanneer en hoe versoeke geëskaleer word (bv. komplekse versoeke, versoeke wat sensitiewe data behels, versoeke waar vrystellings van toepassing mag wees)
  • Logboekhouding van versoeke en uitkomste — Hou 'n omvattende logboek by van alle versoeke wat ontvang is, insluitend datums, tipes, besluite, voltooiingsdatums en enige vrystellings wat toegepas is.
  • Selfbediening opsies — Oorweeg die verskaffing van selfbedieningsmeganismes (aanlynportale, voorkeursentrums) wat PII-hoofde toelaat om sekere regte uit te oefen sonder om 'n formele versoek in te dien.
  • personeelopleiding — Lei alle relevante personeel op oor die versoekhanteringsprosedures, insluitend hoe om 'n geldige versoek te herken, hoe om identiteit te verifieer en hoe om die versoekbestuurstelsel te gebruik.
  • Sien ook A.1.3.3: Bepaling van inligting vir PII-hoofde vir verwante vereistes
  • Sien ook A.1.3.4: Verskaffing van inligting aan PII-hoofde vir verwante vereistes

Die riglyne beklemtoon dat versoekhantering nie 'n ad hoc-proses moet wees nie. 'n Gedokumenteerde, herhaalbare prosedure verseker konsekwentheid, verminder die risiko van gemiste sperdatums en verskaf die bewysspoor wat ouditeure verwag.

Hoe pas dit by die GDPR?

Beheer A.1.3.10 karteer na BBP Artikel 12(3-6) en Artikel 15(1)(ah):

  • Artikel 12 (3) — Die beheerder moet sonder onnodige vertraging en in elk geval binne een maand na ontvangs inligting verskaf oor die stappe wat op 'n versoek geneem is. Die tydperk kan met twee verdere maande verleng word waar nodig, met die beheerder wat die betrokke persoon binne een maand in kennis stel.
  • Artikel 12 (4) — Indien die beheerder nie op die versoek reageer nie, moet hy die betrokke persoon sonder versuim en uiterlik binne een maand in kennis stel van die redes en die reg om 'n klagte in te dien.
  • Artikel 12 (5) — Inligting en stappe wat geneem word, moet gratis verskaf word. Waar versoeke klaarblyklik ongegrond of oordrewe is, kan die beheerder 'n redelike fooi hef of weier om op te tree.
  • Artikel 12 (6) — Waar die beheerder redelike twyfel het oor die identiteit van die versoeker, kan hy bykomende inligting aanvra
  • Artikel 15(1)(ah) — Die spesifieke inligting wat verskaf moet word in reaksie op 'n toegangsversoek

Artikel 12 van die AVG is die prosedurele raamwerk wat bepaal hoe alle regte van data-onderwerpe uitgeoefen word. Om hierdie reg te kry, is noodsaaklik vir voldoenende bedrywighede.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun twee ISO 29100-privaatheidsbeginsels:

  • Individuele deelname en toegang — Doeltreffende versoekhantering is die meganisme waardeur individue hul deelnameregte uitoefen
  • Aanspreeklikheid — Gedokumenteerde prosedures, logboekregistrasie en opleiding toon dat die organisasie sy verpligtinge ernstig opneem en voldoening kan bewys


ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.3.10 beoordeel word, sal ouditeure tipies kyk na:

  • Versoekhanteringsbeleid — ’n Omvattende, gedokumenteerde beleid wat alle versoektipes, tydsraamwerke, rolle, eskalasiekriteria en vrystellings dek
  • Standaard bedryfsprosedures — Stap-vir-stap prosedures vir elke versoektipe (toegang, regstelling, uitwissing, oordraagbaarheid, beswaar, toestemmingsintrekking)
  • Versoek register — 'n Gehoue ​​logboek van alle versoeke met datums, tipes, toegewyse hanteerder, status, voltooiingsdatum en uitkoms
  • Prestasiemetings — Data wat gemiddelde reaksietye, voltooiingsyfers binne die sperdatum en enige oorskryding van tydsraamwerke met oorsaakanalise toon
  • Identiteitsverifikasieprosedures — Gedokumenteerde en proporsionele verifikasiestappe vir elke kanaal waardeur versoeke ontvang word
  • Opleiding rekords — Bewyse dat personeel wat versoeke hanteer, opgelei is en dat opleiding gereeld opgedateer word
  • Antwoord sjablone — Gestandaardiseerde sjablone vir erkenning, vervulling, gedeeltelike vervulling en weiering, wat konsekwente en regsgeldige kommunikasie verseker

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.3.2 Verpligtinge teenoor PII-hoofde Identifiseer die regte; A.1.3.10 verskaf die operasionele raamwerk vir die vervulling daarvan
A.1.3.7 Toegang, regstelling of uitwissing Die mees algemene versoektipes wat die hanteringsraamwerk moet ondersteun
A.1.3.9 Verskaffing van afskrif van verwerkte PII Kopie- en oordraagbaarheidsversoeke word binne hierdie raamwerk hanteer
A.1.3.5 Wysig of trek toestemming in Versoeke om toestemmingsintrekking word binne hierdie raamwerk hanteer
A.1.3.6 Beswaar teen PII-verwerking Beswaarversoeke word binne hierdie raamwerk hanteer
A.1.3.8 Verpligtinge om derde partye in te lig Derdeparty-kennisgewing is 'n afwaartse stap in die versoekhanteringswerkvloei

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe was hierdie vereiste deel van Klousule 7.3.9 (Hantering van versoeke). Die 2025-uitgawe gee dit sy eie kontrolenommer (A.1.3.10) met toegewyde leiding in B.1.3.10. Die kernvereistes is in wese dieselfde, maar die 2025-uitgawe plaas groter klem op selfbedieningsopsies en personeelopleiding as komponente van 'n effektiewe hanteringsraamwerk. Die gestruktureerde formaat maak dit ook makliker om hierdie kontrole onafhanklik te oudit. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die hantering van versoeke vir 'n data-onderwerp?

ISMS.aanlyn bied 'n volledige versoekbestuurstelsel wat gebou is vir privaatheidsnakoming:

  • Gesentraliseerde versoekportaal — 'n Enkele innamepunt vir alle PII-hoofversoeke, met outomatiese kategorisering volgens versoektipe en toewysing aan die regte spanlid
  • Sperdatumbestuur — Outomatiese sperdatumberekening gebaseer op die toepaslike jurisdiksie, met eskalasiewaarskuwings soos sperdatums nader kom en agterstallige kennisgewings indien hulle verbygaan
  • Identiteitsverifikasiewerkvloei — Ingeboude verifikasiestappe wat volgens versoektipe en risikovlak gekonfigureer kan word, wat proporsionele kontroles verseker sonder om wrywing te skep
  • End-tot-end ouditroete — Elke aksie wat op 'n versoek geneem word, word met tydstempels aangeteken, van die aanvanklike ontvangs tot die finale reaksie, wat die bewysbasis skep wat ouditeure benodig.
  • Prestasie-dashboard — Intydse statistieke oor versoekvolumes, reaksietye, voltooiingsyfers en tendense, wat jou help om operasionele knelpunte te identifiseer en voortdurende verbetering te demonstreer
  • Selfbedieningsintegrasie — Voorsien PII-hoofde van selfbedieningsopsies vir algemene versoeke (toestemmingsbestuur, voorkeuropdaterings), wat die hoeveelheid formele versoeke wat u span moet hanteer, verminder.

Vrae & Antwoorde

Wat maak 'n versoek "klaarblyklik ongegrond of oordrewe"?

Ingevolge die AVG kan 'n versoek klaarblyklik ongegrond wees indien die individu duidelik geen voorneme het om hul regte uit te oefen nie (byvoorbeeld, die versoek rig bloot om ontwrigting te veroorsaak). 'n Versoek kan oordrewe wees indien dit herhalend is, byvoorbeeld om toegang tot dieselfde data verskeie kere binne 'n kort tydperk te versoek sonder enige verandering in omstandighede. Die bewyslas rus op die beheerder om aan te toon dat die versoek ongegrond of oordrewe is. Hierdie drempel is doelbewus hoog, en die meeste opregte versoeke moet nagekom word.

Hoe moet jy mondelinge of informele versoeke hanteer?

'n Geldige versoek van 'n data-onderwerp hoef nie skriftelik gedoen te word of spesifieke taal te gebruik nie. Personeel moet opgelei word om te herken wanneer 'n mondelinge navraag of e-pos 'n geldige versoek is. Die beste praktyk is om die versoek onmiddellik in u dopstelsel aan te teken en dieselfde prosedure as vir formele versoeke te volg. Indien identiteitsverifikasie nodig is, verduidelik dit aan die individu en lei hulle deur die proses. Die sperdatum begin vanaf die datum waarop die versoek ontvang word, nie vanaf wanneer identiteit geverifieer word nie.

Wat moet jy doen wanneer 'n versoek veelvuldige regte behels?

'n Enkele kommunikasie van 'n PII-prinsipaal kan verskeie versoeke bevat (byvoorbeeld toegang tot hul data en die uitwissing van sekere rekords). Elke element moet afsonderlik aangeteken en nagespoor word, aangesien verskillende tydsraamwerke, vrystellings of prosedures van toepassing kan wees. Die reaksie kan egter in 'n enkele kommunikasie aan die individu gekonsolideer word. Waar een element van 'n ander afhanklik is (byvoorbeeld, die verskaffing van toegang voor uitwissing sodat die individu die data kan verifieer), bestuur die volgorde dienooreenkomstig.

ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.

DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.