Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.3.2: Verpligtinge teenoor PII-hoofde

Beheer A.1.3.2 vereis dat organisasies hul wetlike, regulatoriese en sakeverpligtinge teenoor PII-prinsipale bepaal en dokumenteer en die middele verskaf om daaraan te voldoen. Dit is die toegangsbeheer vir die hele A.1.3-verpligtingsdoelwit.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.3.2?

Die organisasie moet sy wetlike, regulatoriese en sakeverpligtinge teenoor PII-prinsipale met betrekking tot die verwerking van hul PII bepaal en dokumenteer, en die middele verskaf om aan hierdie verpligtinge te voldoen.

Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3), wat verseker dat organisasies hul pligte teenoor die individue wie se data hulle verwerk, nakom. A.1.3.2 is die fundamentele beheer in hierdie groep: jy moet eers verstaan ​​watter regte en verpligtinge van toepassing is voordat jy die meganismes kan implementeer om dit na te kom.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.3.2) verskaf leiding oor die tipe verpligtinge wat organisasies moet identifiseer en dokumenteer. Hierdie verskil volgens jurisdiksie, maar sluit gewoonlik die volgende in:

  • Reg om ingelig te word — Verskaf duidelike inligting aan PII-hoofde oor hoe hul data verwerk word (sien A.1.3.3 en A.1.3.4)
  • Reg van toegang — Individue toelaat om 'n afskrif van hul persoonlike inligting te bekom (sien A.1.3.7 en A.1.3.9)
  • Reg tot regstelling — Korreksie van onakkurate of onvolledige persoonlike inligting (sien A.1.3.7)
  • Reg op uitvee — Verwydering van persoonlike inligting wanneer dit nie meer nodig is nie of toestemming teruggetrek word (sien A.1.3.7)
  • Reg om verwerking te beperk — Beperking van verwerking in sekere omstandighede
  • Reg op data-oordraagbaarheid — Verskaffing van persoonlike inligting in 'n gestruktureerde, masjienleesbare formaat (sien A.1.3.9)
  • Reg om te beswaar — Individue toelaat om beswaar te maak teen verwerking (sien A.1.3.6)

Die riglyne beklemtoon dat verpligtinge tussen jurisdiksies verskil. Organisasies wat in verskeie gebiede werksaam is, moet die spesifieke regte wat in elkeen van toepassing is, karteer en verseker dat hulle toepaslike meganismes in plek het.

Hoe pas dit by die GDPR?

Beheer A.1.3.2 karteer na BBP Artikel 12(2), wat vereis dat beheerders die uitoefening van data-onderwerpregte moet fasiliteer. Terwyl A.1.3.2 handel oor die bepaling en dokumentasie van die volledige stel verpligtinge, vereis Artikel 12(2) spesifiek dat die middele wat aan PII-hoofde verskaf word, prakties en toeganklik moet wees. Ingevolge BBP, die regte wat hierbo gelys word, word in Artikels 15 tot en met 22 gekodifiseer.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun die Individuele deelname en toegang beginsel van ISO 29100. Hierdie beginsel vereis dat PII-hoofde die vermoë het om toegang tot hul data te verkry, die akkuraatheid daarvan te betwis en dit te laat wysig of verwyder waar toepaslik. A.1.3.2 is die beplanningslaag wat verseker dat u weet watter deelnameregte van toepassing is voordat die meganismes geïmplementeer word.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.3.2 beoordeel word, sal ouditeure tipies kyk na:

  • Verpligtingsregister — 'n Gedokumenteerde register van alle wetlike, regulatoriese en sakeverpligtinge teenoor PII-prinsipale, gekoppel aan toepaslike jurisdiksies.
  • Jurisdiksionele analise — Bewyse dat die organisasie geïdentifiseer het watter privaatheidswette van toepassing is op grond van waar PII-hoofde geleë is of waar verwerking plaasvind
  • Meganismes in plek — Gedokumenteerde prosedures, vorms of stelsels wat PII-hoofde in staat stel om elke toepaslike reg uit te oefen
  • Beleidsdokumentasie — ’n Beleid oor die regte van data-onderwerpe of ekwivalent wat beskryf hoe elke verpligting nagekom word
  • Personeelopleidingsrekords — Bewyse dat personeel wat verantwoordelik is vir die hantering van versoeke die verpligtinge en prosedures verstaan
  • Gereelde hersienings — Bewyse dat verpligtinge hersien word wanneer wetgewing verander of die organisasie nuwe markte betree

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.3.3 Bepaling van inligting vir PII-hoofde Sodra verpligtinge geïdentifiseer is, bepaal watter inligting verskaf moet word
A.1.3.4 Verskaffing van inligting aan PII-hoofde Lewer die vereiste inligting op 'n duidelike en toeganklike manier
A.1.3.5 Wysig of trek toestemming in Toestemmingsterugtrekking is een van die verpligtinge wat geïdentifiseer en nagekom moet word
A.1.3.7 Toegang, regstelling of uitwissing Implementeer die toegangs-, regstellings- en uitwissingsverpligtinge wat hier geïdentifiseer word
A.1.3.10 Hantering van versoeke Operasionele prosedures vir die reaksie op die versoeke wat voortspruit uit hierdie verpligtinge
A.1.2.9 Rekords met betrekking tot die verwerking van persoonlike inligting Verwerkingsrekords moet die verpligtinge wat vir elke aktiwiteit geïdentifiseer is, weerspieël

Wat het verander van ISO 27701:2019?

In die 2019-uitgawe was hierdie vereiste deel van Klousule 7.3.1 (Bepaling en nakoming van verpligtinge teenoor PII-prinsipale). Die 2025-uitgawe herstruktureer dit in 'n afsonderlike beheermaatreël (A.1.3.2) wat spesifiek fokus op die bepaling en dokumentasie van die volle omvang van verpligtinge, apart van die inligtingvoorsieningsbeheermaatreëls wat volg. Dit gee die beplannings- en ontledingstap sy eie ouditkontrolepunt. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Hoekom kies ISMS.aanlyn vir die bestuur van PII-hoofverpligtinge?

ISMS.aanlyn verskaf die struktuur en gereedskap wat jy nodig het om jou verpligtinge teenoor PII-hoofde te identifiseer, te dokumenteer en na te kom:

  • Verpligtingskartering — Karteer PII-hoofregte oor verskeie jurisdiksies in 'n enkele register, sodat u met 'n oogopslag kan sien watter regte waar van toepassing is
  • Portaal vir versoeke vir data-onderwerpe — Gee PII-hoofde 'n duidelike meganisme om hul regte uit te oefen, met outomatiese roetering na die regte span
  • Werkstroom outomatisering — Volg elke versoek van ontvangs tot voltooiing met ingeboude sperdatums en eskalasiepaaie
  • Regulatoriese veranderingsopsporing — Bly op hoogte van wetsveranderinge wat jou verpligtinge raak, met vinnige hersienings wanneer wette opgedateer word
  • Kruisbeheer-skakeling — Verbind verpligtinge met die spesifieke beheermaatreëls, beleide en prosedures wat daaraan voldoen, en skep 'n volledige nakomingsbeeld

Vrae & Antwoorde

Hoe bepaal jy watter verpligtinge op jou organisasie van toepassing is?

Begin deur te identifiseer waar jou PII-beginsels geleë is, waar jou organisasie bedrywig is, en watter privaatheidswette ekstraterritoriale reikwydte het. Vir elke toepaslike jurisdiksie, karteer die spesifieke data-onderwerpregte wat die wet toeken. Algemene raamwerke sluit in GDPR (EU/EER), VK GDPR, CCPA/CPRA (Kalifornië), LGPD (Brasilië) en POPIA (Suid-Afrika). Elk stel effens verskillende verpligtinge, daarom is 'n jurisdiksionele analise noodsaaklik.

Wat is sakeverpligtinge in teenstelling met wetlike verpligtinge?

Besigheidsverpligtinge is verbintenisse wat jou organisasie vrywillig aangegaan het, soos beloftes in jou privaatheidskennisgewing, kontraktuele bepalings met kliënte, of bedryfsgedragskodes waarvoor jy onderteken het. Hierdie mag verder gaan as wat die wet streng vereis. Jy mag byvoorbeeld belowe om binne 14 dae op toegangsversoeke te reageer, al laat die wet 30 dae toe. Hierdie selfopgelegde verpligtinge moet ook gedokumenteer en nagekom word.

Is hierdie beheer van toepassing op PII-verwerkers?

A.1.3.2 is 'n PII-beheerderbeheer. PII-verwerkers het verwante verpligtinge kragtens A.2.3 (Verpligtinge teenoor PII-hoofde vir PII-verwerkers), wat vereis dat hulle die beheerder bystaan ​​om hierdie verpligtinge na te kom. Verwerkers moet egter steeds die beheerder se verpligtinge verstaan ​​sodat hulle effektiewe ondersteuning kan bied wanneer nodig.

ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.

DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.