Wat vereis beheer A.1.3.7?
Die organisasie moet beleide, prosedures of meganismes implementeer om sy verpligtinge teenoor PII-prinsipale na te kom om toegang tot hul PII te verkry, dit reg te stel of uit te vee.
Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3). Terwyl A.1.3.2 identifiseer watter verpligtinge bestaan, A.1.3.7 vereis dat u die werklike operasionele meganismes bou wat drie van die mees uitgeoefende data-onderwerpregte vervul: toegang, regstelling en uitwissing.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.3.7) verskaf leiding oor die implementering van elk van die drie regte:
Reg van toegang
- Voorsien PII-hoofde van die vermoë om toegang te verkry tot die PII wat oor hulle gehou word
- Sluit aanvullende inligting in soos die doeleindes van verwerking, kategorieë van data, ontvangers, bewaringsperiodes en die bron van die data.
- Verifieer die identiteit van die versoeker voordat enige persoonlike inligting bekend gemaak word
Reg op regstelling (regstelling)
- Laat PII-hoofde toe om onakkurate PII sonder onnodige vertraging reg te stel
- Voorsien 'n meganisme vir die voltooiing van onvolledige PII, met inagneming van die doeleindes van verwerking
- Waar die regstelling data wat met derde partye gedeel word, raak, stel daardie partye in kennis (sien A.1.3.8)
Reg op uitvee
- Vee PII uit waar dit nie meer nodig is vir die vermelde doel nie
- Vee PII uit waar toestemming teruggetrek is en geen ander wettige basis van toepassing is nie (sien A.1.3.5)
- Vee PII uit waar die individu beswaar gemaak het en daar geen oorheersende wettige gronde is nie (sien A.1.3.6)
- Vee PII uit wat onwettig verwerk is
- Dokumenteer tydsraamwerke vir die beantwoording van elke tipe versoek
Die riglyne beklemtoon ook die belangrikheid van identiteitsverifikasie voordat daar op enige versoek gereageer word, om ongemagtigde toegang of manipulasie van persoonlike inligting te voorkom.
Hoe pas dit by die GDPR?
Beheer A.1.3.7 word na verskeie sleutels gewysig BBP bepalings:
- Artikel 5(1)(d) — Akkuraatheidsbeginsel: persoonlike data moet akkuraat en op datum gehou word
- Artikel 16 — Reg op regstelling
- Artikel 17(1)(af) — Reg op uitwissing (reg om vergeet te word), insluitend die ses gronde waarop uitwissing uitgevoer moet word
- Artikel 17 (2) — Verpligting om ander beheerders in kennis te stel van versoeke om uitwissing waar data openbaar gemaak is
- Artikel 13(2)(b) en 14(2)(c) — Verpligting om datasubjekte in te lig oor hul regte op toegang, regstelling en uitwissing
Toegangsversoeke (versoeke om toegang tot data van 'n onderwerp of SAR's) is deurgaans die algemeenste tipe versoek vir data-onderwerpe in alle jurisdiksies. Organisasies moet verwag om hierdie gereeld te hanteer en moet doeltreffende prosesse in plek hê.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Individuele deelname en toegang beginsel van ISO 29100. Hierdie beginsel vereis dat PII-hoofde die vermoë het om toegang tot hul data te verkry, die akkuraatheid daarvan te bevraagteken en dit te laat wysig of verwyder waar toepaslik. A.1.3.7 is die primêre implementeringskontrole vir hierdie beginsel.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.3.7 beoordeel word, sal ouditeure tipies kyk na:
- Beleid oor versoeke vir data-onderwerpe — ’n Omvattende beleid wat toegangs-, regstellings- en uitwissingprosedures dek, insluitend rolle, verantwoordelikhede en tydsraamwerke
- Versoekinnamemeganisme — ’n Gedokumenteerde, toeganklike proses vir die ontvangs van versoeke (aanlyn vorm, e-pos, persoonlik)
- Identiteitsverifikasieprosedures — Gedokumenteerde stappe vir die verifikasie van die identiteit van versoekers voordat daar opgetree word, proporsioneel tot die sensitiwiteit van die data
- Antwoord sjablone — Gestandaardiseerde sjablone vir die erkenning, vervulling en weiering van versoeke, met wetlik gegronde taal
- Versoek log — 'n Register van alle versoeke wat ontvang is, met datums, tipes, besluite en voltooiingsdatums wat voldoening aan tydsraamwerke toon
- Vrystellingsdokumentasie — Waar versoeke (geheel of gedeeltelik) geweier word, gedokumenteerde redes met verwysing na die toepaslike vrystelling
- Stelselvermoë — Bewyse dat stelsels persoonlike inligting (PII) oor alle relevante databergings kan opspoor, onttrek, korrigeer en verwyder
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.3.9 Verskaffing van afskrif van verwerkte PII | Brei die toegangsreg uit met spesifieke vereistes vir formaat en oordraagbaarheid |
| A.1.3.10 Hantering van versoeke | Verskaf die operasionele raamwerk vir die bestuur van alle PII-hoofversoeke |
| A.1.3.8 Verpligtinge om derde partye in te lig | Wanneer regstelling of uitwissing uitgevoer word, moet derde partye in kennis gestel word |
| A.1.3.5 Wysig of trek toestemming in | Toestemmingsterugtrekking kan uitwissingsverpligtinge kragtens A.1.3.7 veroorsaak |
| A.1.3.6 Beswaar teen PII-verwerking | Gehandhaafde besware kan uitwissingsverpligtinge kragtens A.1.3.7 veroorsaak |
| A.1.2.9 Rekords met betrekking tot die verwerking van persoonlike inligting | Verwerking van rekords help om alle relevante PII op te spoor wanneer toegang- of uitwissingsversoeke nagekom word |
Wat het verander van ISO 27701:2019?
In die 2019-uitgawe is hierdie regte gedek in Klousules 7.3.6 (Toegang, regstelling en/of uitwissing). Die 2025-uitgawe konsolideer hierdie onder A.1.3.7 met uitgebreide leiding in B.1.3.7. Die kernvereistes is in wese dieselfde, maar die 2025-formaat bied 'n duideliker struktuur vir ouditering. Die byvoeging van A.1.3.9 (die verskaffing van 'n kopie) as 'n aparte beheermaatreël verskerp ook die onderskeid tussen toegang en oordraagbaarheid. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van toegang, regstelling en uitwissing?
ISMS.aanlyn bied end-tot-end ondersteuning vir die mees operasioneel veeleisende data-onderwerpregte:
- Portaal vir versoeke vir data-onderwerpe — ’n Gebrandmerkte innamevorm wat die versoektipe vaslê, identiteit verifieer en die versoek outomaties met sperdatumopsporing aanteken.
- Werkvloei-enjin — Stuur versoeke na die regte spanne met outomatiese taaktoewysings, eskalasies en sperdatumherinneringe sodat niks deur die krake val nie.
- Integrasie van datakartering — Koppel aan jou data-inventaris om vinnig alle stelsels wat die versoeker se PII bevat, te identifiseer, wat soektyd vir toegangs- en uitwissingsversoeke verminder.
- Vrystellingsbestuur — Gestruktureerde sjablone vir die dokumentasie en regverdiging van enige toegepaste vrystellings, wat 'n verdedigbare rekord vir reguleerders skep
- Prestasieverslaggewing — Dashboard wat versoekvolumes, reaksietye, voltooiingsyfers en tendense toon, wat jou help om knelpunte te identifiseer voordat dit voldoeningsprobleme word
- Derdeparty-kennisgewing — Wanneer regstellings of uitwissing voltooi is, stuur kennisgewings aan derde partye per A.1.3.8
Vrae & Antwoorde
Hoe moet jy identiteit verifieer voordat jy 'n versoek uitvoer?
Verifikasie moet proporsioneel wees tot die sensitiwiteit van die data en die risiko van openbaarmaking aan die verkeerde persoon. Vir bestaande kliënte kan u identiteit verifieer deur hul rekeningbesonderhede. Vir ander kan u 'n afskrif van foto-ID aanvra of hulle vra om besonderhede te bevestig wat net hulle sou weet. Die sleutel is om seker te wees van die versoeker se identiteit sonder om 'n oormatige las te skep wat mense ontmoedig om hul regte uit te oefen.
Is daar gronde om 'n versoek om uitwissing te weier?
Ja. Die reg op uitwissing is nie absoluut nie. Algemene vrystellings sluit in verwerking wat nodig is vir die nakoming van 'n wetlike verpligting, die uitoefening van amptelike gesag, redes van openbare gesondheid, argivering in die openbare belang, en die vestiging, uitoefening of verdediging van regseise. Elke weiering moet gedokumenteer word met die spesifieke vrystelling waarop staatgemaak word, en die PII-prinsipaal moet in kennis gestel word van die weiering en hul reg om by 'n toesighoudende gesag te kla.
Watter tydsbestek geld vir die beantwoording van versoeke?
Onder BBP, die sperdatum is een maand vanaf ontvangs van die versoek. Dit kan met 'n verdere twee maande verleng word vir komplekse of talle versoeke, mits die PII-prinsipaal binne die eerste maand in kennis gestel word. Ander jurisdiksies kan verskillende tydsraamwerke spesifiseer. Ongeag die wetlike minimum, moet organisasies hul teikenresponstye dokumenteer en prestasie daarteenoor dophou. Die konsekwente bereiking van korter interne teikens demonstreer sterk operasionele vermoë vir ouditeure.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.
DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.
