Wat vereis beheer A.1.3.11?
Die organisasie moet verpligtinge, insluitend wetlike verpligtinge, teenoor die PII-hoofde identifiseer wat voortspruit uit besluite wat deur die organisasie geneem word wat verband hou met die PII-hoofde uitsluitlik gebaseer op outomatiese verwerking van PII, en in staat wees om te demonstreer hoe dit hierdie verpligtinge nakom.
Hierdie beheer val binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3), wat verseker dat organisasies toepaslike deursigtigheid en regte bied aan individue wie se data hulle verwerk. Outomatiese besluitneming is 'n gebied van toenemende regulatoriese en openbare kommer, en hierdie beheer vereis dat organisasies proaktief identifiseer waar sulke besluite plaasvind en betekenisvolle voorsorgmaatreëls implementeer.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.3.11) verskaf die volgende riglyne:
- Identifiseer outomatiese besluite — Bepaal waar besluite geneem word uitsluitlik gebaseer op outomatiese verwerking wat regsgevolge of soortgelyke beduidende gevolge vir PII-prinsipale het (bv. kredietgradering, outomatiese werwingsondersoek, versekeringspryse)
- Verskaf betekenisvolle inligting — Gee PII-beginsels betekenisvolle inligting oor die logika betrokke by die outomatiese besluit, die belangrikheid van die verwerking en die beoogde gevolge vir die individu
- Implementeer voorsorgmaatreëls — Stel maatreëls in plek, insluitend die reg om menslike ingryping van 'n gekwalifiseerde persoon te verkry, die vermoë vir die PII-prinsipaal om hul standpunt uit te spreek, en die vermoë vir die PII-prinsipaal om die besluit te betwis
- Die organisasie moet dokumenteer watter verwerkingsaktiwiteite uitsluitlik outomatiese besluitneming behels en watter voorsorgmaatreëls vir elkeen in plek is
- Sien ook A.1.3.2: Verpligtinge teenoor PII-hoofde vir verwante vereistes
- Sien ook A.1.3.6: Beswaar teen PII-verwerking vir verwante vereistes
Die klem val op die versekering dat individue nie onderhewig is aan gevolglike besluite wat geheel en al deur masjiene sonder verhaal geneem word nie. Dit stem nou ooreen met die deursigtigheidsverpligtinge in A.1.3.3 en A.1.3.4.
Hoe pas dit by die GDPR?
Beheer A.1.3.11 karteer na verskeie BBP bepalings:
- Artikel 13(2)(f) en 14(2)(g) — Vereis dat organisasies datasubjekte inlig oor die bestaan van outomatiese besluitneming, insluitend profilering, en betekenisvolle inligting verskaf oor die betrokke logika, betekenis en beoogde gevolge.
- Artikel 22 (1) — Gee datasubjekte die reg om nie onderworpe te wees aan 'n besluit wat uitsluitlik op outomatiese verwerking gebaseer is nie, wat regsgevolge het of hulle soortgelyk beduidend raak.
- Artikel 22 (3) — Vereis dat die databeheerder geskikte maatreëls implementeer om die regte van die datasubjek te beskerm, insluitend die reg om menslike ingryping te verkry, hul standpunt uit te spreek en die besluit te betwis.
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die ISO 29100 beginsel van Doellegitimiteit en spesifikasieOutomatiese besluite moet binne die bestek van die oorspronklik gespesifiseerde en wettige doeleindes geneem word. Waar outomatiese verwerking gebruik word om gevolglike besluite te neem, moet die organisasie aantoon dat hierdie gebruik ooreenstem met die doeleindes wat aan PII-hoofde gekommunikeer is en dat toepaslike voorsorgmaatreëls in plek is.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.3.11 beoordeel word, sal ouditeure tipies kyk na:
- Outomatiese besluitnemingsinventaris — 'n Register van alle verwerkingsaktiwiteite wat uitsluitlik outomatiese besluitneming behels, insluitend die tipes besluite wat geneem is en hul uitwerking op PII-hoofde
- Logika-dokumentasie — Betekenisvolle beskrywings van die algoritmes, modelle of reëls wat gebruik word om besluite te neem, geskryf in terme wat 'n nie-tegniese persoon kan verstaan
- Veiligheidsmaatreëls — Gedokumenteerde prosesse vir menslike ingryping, insluitend wie gemagtig is om outomatiese besluite te hersien, hoe PII-hoofde 'n hersiening kan aanvra en die tydskale vir reaksie
- Privaatheidskennisgewings — Bewyse dat PII-hoofde ingelig word oor outomatiese besluitneming voordat dit plaasvind, insluitend deur privaatheidskennisgewings of spesifieke kennisgewings
- Rekords van uitdagings — Logboeke van enige versoeke vir menslike hersiening, die uitkomste en hoe die organisasie gereageer het
- Impakbepalings — Impakbepalings vir privaatheid of impakbepalings vir databeskerming wat die outomatiese besluitnemingstelsels dek
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.3.3 Bepaling van inligting vir PII-hoofde | Deursigtigheidsvereistes wat insluit dat individue ingelig word oor outomatiese besluitneming |
| A.1.3.4 Verskaffing van inligting aan PII-hoofde | Die meganisme vir die kommunikasie van outomatiese besluitnemingsinligting |
| A.1.2.2 Identifiseer en dokumenteer doel | Geoutomatiseerde besluitneming moet binne gedokumenteerde doeleindes wees |
| A.1.2.3 Identifiseer die wettige basis | 'n Geldige wettige basis word vereis vir die outomatiese verwerking |
| A.1.4.3 Beperk verwerking | Geoutomatiseerde verwerking moet proporsioneel bly tot die geïdentifiseerde doel |
| A.1.4.4 Akkuraatheid en kwaliteit | Akkuraatheid van invoerdata is van kritieke belang vir billike outomatiese besluite |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 7.3.10 (outomatiese besluitneming). Die 2025-uitgawe het outomatiese besluitneming geskei in sy eie toegewyde beheer (A.1.3.11), wat die groeiende regulatoriese klem op algoritmiese deursigtigheid en verantwoordbaarheid weerspieël. Die inhoud van die vereiste is soortgelyk, maar die eksplisiete uitroep van menslike ingrypingsregte, die vermoë om menings uit te spreek en die vermoë om besluite te betwis, is meer prominent. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir die bestuur van nakoming van outomatiese besluitneming?
ISMS.aanlyn verskaf die gereedskap wat jy nodig het om outomatiese besluitneming binne jou privaatheidsbestuurstelsel te beheer:
- Geoutomatiseerde besluitregister — Katalogiseer elke outomatiese besluitnemingsproses, die data wat dit gebruik, die besluite wat dit produseer en die voorsorgmaatreëls wat in plek is
- Impakassesseringswerkvloeie — Voer privaatheidsimpakbeoordelings uit vir outomatiese besluitnemingstelsels met ingeboude sjablone en goedkeuringswerkvloeie
- Menslike resensieopsporing — Teken versoeke vir menslike ingryping aan en spoor dit op, en verseker dat reaksies betyds en gedokumenteer word
- Beleidsbestuur — Handhaaf weergawe-beheerde beleide oor algoritmiese aanspreeklikheid, gekoppel aan u verwerkingsrekords
- Kruisbeheer-kartering — Sien hoe outomatiese besluitnemingsvereistes verband hou met deursigtigheid, wettige basis en datakwaliteitskontroles in 'n enkele aansig
- Oudit-gereed bewyspakkette — Voer volledige dokumentasie van u outomatiese besluitnemingsbestuur vir sertifiseringsoudits uit
Vrae & Antwoorde
Geld hierdie beheermaatreël vir alle outomatiese verwerking?
Nee. A.1.3.11 is spesifiek gerig op besluite gebaseer Uitsluitlik op outomatiese verwerking wat regsgevolge of soortgelyke beduidende gevolge vir PII-hoofde het. Outomatiese verwerking wat 'n besluit ondersteun, maar nie uitsluitlik bepaal nie (byvoorbeeld 'n stelsel wat aansoeke vir menslike hersiening merk) val minder waarskynlik binne die bestek, hoewel deursigtigheidsverpligtinge steeds van toepassing is.
Wat tel as 'n "soortgelyke beduidende effek"?
Benewens regsgevolge (soos die weiering van 'n kredietaansoek), sluit soortgelyke beduidende gevolge besluite in wat iemand se omstandighede, gedrag of keuses wesenlik beïnvloed. Voorbeelde sluit in outomatiese verwerping van 'n werksaansoek, versekeringspremieberekeninge of die weiering van toegang tot dienste. Die drempel is of die besluit 'n betekenisvolle impak op die individu se lewe het.
Hoe moet organisasies algoritmiese logika aan individue verduidelik?
Die standaard vereis "betekenisvolle inligting oor die betrokke logika" eerder as 'n volledige tegniese openbaarmaking van die algoritme. In die praktyk beteken dit om te verduidelik watter data gebruik word, die algemene faktore wat oorweeg word, hoe dit die uitkoms beïnvloed en wat die moontlike gevolge is. Die verduideliking moet in eenvoudige taal wees wat die PII-prinsipaal redelikerwys kan verstaan.
ons gids vir vereistes vir ouditbewyse dek die dokumentasie wat ouditeure verwag vir outomatiese besluitnemingskontroles.
Vir organisasies wat KI-stelsels ontplooi, sien ons omvattende KI-privaatheidsbestuur gids wat die kruispunt van ISO 27701:2025 en KI-risiko dek.
DPO's wat toesig hou oor outomatiese verwerking moet ons gids vir DPO's.
