Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.3.3: Bepaling van inligting vir PII-hoofde

Beheer A.1.3.3 vereis dat organisasies die inligting wat aan PII-prinsipaals verskaf moet word rakende die verwerking van hul PII en die tydsberekening van sodanige voorsiening, bepaal en dokumenteer. Om dit reg te kry, is noodsaaklik vir deursigtigheid.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.3.3?

Die organisasie moet die inligting wat aan PII-prinsipale verskaf moet word rakende die verwerking van hul PII en die tydsberekening van so 'n voorsiening, bepaal en dokumenteer.

Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3). Terwyl A.1.3.2 Verpligtinge teenoor PII-hoofde identifiseer watter verpligtinge u het, A.1.3.3 ondersoek die spesifieke inligtinginhoud wat gekommunikeer moet word en stel die tydsreëls vas vir wanneer daardie inligting verskaf moet word.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.3.3) verskaf gedetailleerde leiding oor beide die inhoud en tydsberekening van inligtingverskaffing:

Inligting wat verskaf moet word

  • Identiteit van die beheerder — Die naam en kontakbesonderhede van die organisasie wat verantwoordelik is vir verwerking
  • Doelwitte van verwerking — 'n Duidelike verduideliking van waarom persoonlike inligting verwerk word, in lyn met A.1.2.2 Identifiseer en dokumenteer doel
  • Kategorieë van PII — Watter tipes persoonlike data word ingesamel en verwerk
  • ontvangers — Enige derde partye of kategorieë van derde partye wat die PII sal ontvang
  • Behoudtydperke — Hoe lank die PII gestoor sal word, of die kriteria wat gebruik word om bewaring te bepaal
  • Regte beskikbaar — Die spesifieke regte wat PII-hoofde kan uitoefen (toegang, regstelling, uitwissing, beperking, oordraagbaarheid, beswaar)
  • Outomatiese besluitneming — Of enige outomatiese profilering of besluitneming uitgevoer word, en die logika betrokke
  • Internasionale oordragte — Besonderhede van enige oordragte na ander jurisdiksies, insluitend die waarborge wat in plek is
  • Sien ook A.1.3.6: Beswaar teen PII-verwerking vir verwante vereistes
  • Sien ook A.1.3.8: Verpligtinge om Derde Partye in te lig vir verwante vereistes

Tydsberekening van voorsiening

  • Direkte versameling — Inligting moet tydens insameling verskaf word
  • Indirekte insameling — Inligting moet binne 'n redelike tydperk na verkryging van die PII verskaf word, en nie later nie as die tyd van eerste kommunikasie met die PII-prinsipaal of eerste openbaarmaking aan 'n derde party.

Hoe pas dit by die GDPR?

Beheer A.1.3.3 karteer breedvoerig na BBP deursigtigheidsbepalings:

  • Artikel 13(1-4) — Inligting wat verskaf moet word waar persoonlike data van die betrokke persoon ingesamel word
  • Artikel 14(1-5) — Inligting wat verskaf moet word waar persoonlike data nie van die betrokke persoon verkry is nie
  • Artikel 11 (2) — Bepalings waar die beheerder nie die betrokke persoon kan identifiseer nie
  • Artikel 15(1-2) — Vereistes vir die reg op toegang (inlig oor watter inligting datasubjekte toegang het)
  • Artikel 18 (3) — Inligting van datasubjekte voordat 'n beperking op verwerking opgehef word
  • Artikel 21 (4) — Inligting van datasubjekte oor die reg om beswaar te maak

Die BBP Die onderskeid tussen Artikels 13 en 14 (direkte teenoor indirekte insameling) is direk gekoppel aan die tydsberekeningsriglyne in B.1.3.3.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun die Oopheid, deursigtigheid en kennisgewing beginsel van ISO 29100. Hierdie beginsel vereis dat PII-hoofde ingelig word oor hoe hul data verwerk word op 'n wyse wat duidelik, toeganklik en tydig is. A.1.3.3 operasionaliseer dit deur organisasies te vereis om presies te dokumenteer watter inligting benodig word en wanneer dit gelewer moet word.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.3.3 beoordeel word, sal ouditeure tipies kyk na:

  • Privaatheidskennisgewing-inhoudsmatriks — 'n Gedokumenteerde analise van watter inligting vir elke verwerkingsaktiwiteit verskaf moet word, gekarteer teenoor wetlike vereistes
  • Tydsberekening dokumentasie — Duidelike reëls vir wanneer inligting verskaf word, met onderskeid tussen direkte en indirekte insamelingscenario's
  • Privaatheidskennisgewings — Werklike kennisgewingsdokumente (webwerf-privaatheidsbeleide, invorderingskennisgewings, werknemersprivaatheidskennisgewings) wat die vereiste inligtingselemente bevat
  • Volledigheidsoorsig — Bewyse dat kennisgewings teen die gedokumenteerde vereistes hersien is om te verseker dat niks ontbreek nie
  • Multikanaaldekking — Privaatheidskennisgewings wat toepaslik is vir elke insamelingskanaal (webvorms, telefoon, persoonlik, derdepartybronne)

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.3.2 Verpligtinge teenoor PII-hoofde Identifiseer die volledige stel verpligtinge; A.1.3.3 bepaal die spesifieke inligtinginhoud
A.1.3.4 Verskaffing van inligting aan PII-hoofde Dek hoe om die inligting te lewer wat onder A.1.3.3 bepaal word
A.1.2.2 Identifiseer en dokumenteer doel Doeldokumentasie word gebruik vir die inligting wat aan PII-hoofde verskaf word
A.1.2.9 Rekords met betrekking tot die verwerking van persoonlike inligting Verwerkingsrekords is 'n sleutelbron vir die inligting wat gekommunikeer moet word
A.1.3.5 Wysig of trek toestemming in Toestemmingsintrekkingsmeganismes moet as deel van die inligtingspakket gekommunikeer word.
A.1.3.7 Toegang, regstelling of uitwissing Regte-inligting is deel van wat aan PII-hoofde gekommunikeer moet word

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 7.3.2 (Bepaling van inligting vir PII-hoofde). Die 2025-uitgawe gee dit sy eie beheernommer (A.1.3.3) met 'n duideliker skeiding tussen die bepaling van die inligtinginhoud en die handeling van die verskaffing daarvan (nou A.1.3.4 Verskaffing van inligtingDie inhoud van die riglyne is in wese soortgelyk, maar baat by die meer gestruktureerde formaat. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van privaatheidsinligtingsvereistes?

ISMS.aanlyn help jou om sistematies die inligting wat jy aan PII-hoofde verskuldig is, te bepaal, te dokumenteer en te onderhou:

  • Privaatheidskennisgewingbouer — Skep en onderhou privaatheidskennisgewings met aanwysings vir elke vereiste inligtingselement, wat die risiko van weglatings verminder.
  • Versamelingskanaalkartering — Dokumenteer watter inligting by elke data-insamelingspunt verskaf word, en verseker konsekwente dekking oor kanale heen
  • Tydsberekening reëls enjin — Stel en hou tydsberekeningsvereistes vir inligtingvoorsiening dop gebaseer op direkte of indirekte insameling, met waarskuwings wanneer sperdatums nader kom
  • Weergawe-beheerde dokumente — Handhaaf 'n volledige geskiedenis van veranderinge in privaatheidskennisgewings met goedkeuringswerkvloeie, sodat u kan demonstreer watter inligting verskaf is en wanneer
  • Opsporing van voldoeningsgapings — Vergelyk u huidige kennisgewings met gedokumenteerde vereistes om ontbrekende inligting te identifiseer voordat 'n ouditeur dit doen

Vrae & Antwoorde

Wat is die verskil tussen A.1.3.3 en A.1.3.4 Inligtingverskaffing?

A.1.3.3 gaan oor die besluit oor watter inligting ingesluit moet word en wanneer dit verskaf moet word. A.1.3.4 Verskaffing van inligting gaan oor hoe jy daardie inligting eintlik aan PII-hoofde lewer, wat formaat, duidelikheid, toeganklikheid en aanbieding dek. Dink aan A.1.3.3 as die inhoudbeplanningstap en A.1.3.4 Verskaffing van inligting as die afleweringsstap.

Hoe moet die tydsberekening vir direkte en indirekte insameling verskil?

Vir direkte insameling (waar PII van die individu verkry word), moet inligting verskaf word by die punt van insameling, voor of tydens die interaksie. Vir indirekte insameling (waar PII van 'n derde party of openbare bron verkry word), moet inligting binne 'n redelike tydperk verskaf word en nie later nie as die eerste kommunikasie met die individu of die eerste openbaarmaking aan 'n derde party. Ingevolge die AVG is die maksimum vir indirekte insameling een maand.

Het jy afsonderlike kennisgewings vir verskillende verwerkingsaktiwiteite nodig?

Nie noodwendig nie. 'n Enkele omvattende privaatheidskennisgewing kan verskeie verwerkingsaktiwiteite dek, mits dit duidelik is watter inligting op watter aktiwiteit betrekking het. Waar verwerkingskontekste egter baie verskil (bv. kliëntdata teenoor werknemerdata), bied afsonderlike kennisgewings dikwels beter duidelikheid. Die sleutel is dat alle vereiste inligtingselemente vir elke verwerkingsaktiwiteit gedek word, ongeag hoeveel dokumente jy gebruik.

ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.

DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.