Wat vereis beheer A.1.4.6?
Die organisasie moet óf PII verwyder óf dit in 'n vorm weergee wat nie die identifisering of heridentifikasie van PII-hoofde toelaat nie, sodra die oorspronklike PII nie meer vir die geïdentifiseerde doel(e) nodig is nie.
Hierdie beheer sit binne die PII-minimalisering doelwit (A.1.4) en verteenwoordig die verpligting aan die einde van die lewensiklus. Sodra die doel vir die insameling en verwerking van persoonlike inligting (PII) nagekom is en geen wetlike bewaringsvereiste bestaan nie, moet die data nie in identifiseerbare vorm voortduur nie. Hierdie beheer werk saam met A.1.4.8 (behoud) en A.1.4.9 (beskikking) om te verseker dat PII nie sy doel oorskry nie.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.4.6) verskaf die volgende riglyne:
- Definieer snellers vir aksie — Identifiseer die gebeurtenisse wat de-identifikasie of verwydering moet veroorsaak, insluitend: doel vervul, toestemming teruggetrek, bewaringstydperk verstryk, of PII-hoofversoek
- Verseker robuuste de-identifikasie — Waar de-identifikasie bo verwydering gekies word, moet die metodes wat gebruik word, bestand wees teen heridentifikasie. Eenvoudige verwydering van name is dalk nie voldoende as ander datapunte identifikasie deur kombinasie toelaat nie.
- Dokumenteer die proses — Die prosedures vir de-identifikasie en verwydering moet gedokumenteer word, insluitend die metodes wat gebruik word, die snellers wat toegepas word en die verifikasiestappe.
- Verifieer effektiwiteit — Na de-identifikasie of verwydering moet die organisasie verifieer dat die aksie effektief was en dat PII nie herwin of heridentifiseer kan word nie.
- Verwysing ISO/IEC 20889 — Die riglyne verwys spesifiek na ISO/IEC 20889 (Privaatheidsverbeterende data-de-identifikasietegnieke) as 'n bron van de-identifikasiemetodes.
- Sien ook A.1.4.3: Beperk Verwerking vir verwante vereistes
- Sien ook A.1.4.4: Akkuraatheid en Kwaliteit vir verwante vereistes
Die twee opsies (skrapping of de-identifikasie) gee organisasies buigsaamheid. Waar die onderliggende data analitiese waarde het, maar die individue nie meer identifiseerbaar hoef te wees nie, laat de-identifikasie voortgesette gebruik toe. Waar geen verdere gebruik bestaan nie, is skrapping die skoner benadering.
Hoe pas dit by die GDPR?
Beheer A.1.4.6 karteer na verskeie BBP bepalings:
- Artikel 5 (1) (c) — Beginsel van dataminimalisering
- Artikel 5(1)(e) — Bergingbeperking: data moet slegs so lank as nodig in identifiseerbare vorm gehou word
- Artikel 6(4)(e) — Neem die bestaan van gepaste waarborge in ag, wat enkripsie of pseudonimisasie kan insluit, wanneer die versoenbaarheid van verdere verwerking beoordeel word.
- Artikel 11 (1) — Waar doeleindes nie meer identifikasie vereis nie, is die beheerder nie verplig om identifiserende data te behou nie
- Artikel 32 (1) (a) — Pseudonimisering en enkripsie as toepaslike tegniese maatreëls
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun twee ISO 29100 beginsels:
- Data minimisering — De-identifikasie verminder PII tot die minimum identifiseerbare vorm wat benodig word
- Beperking van gebruik, bewaring en openbaarmaking — Skrapping of de-identifikasie aan die einde van verwerking dwing direk bewaringslimiete af
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.4.6 beoordeel word, sal ouditeure tipies kyk na:
- De-identifikasie en verwyderingsprosedures — Gedokumenteerde prosedures wat die metodes wat gebruik word, wie verantwoordelik is en hoe doeltreffendheid geverifieer word, spesifiseer
- Snellerdefinisies — Duidelike dokumentasie van watter gebeurtenisse de-identifikasie of verwydering veroorsaak vir elke kategorie van PII
- Uitvoeringsrekords — Logboeke of rekords wat toon dat de-identifikasie- en verwyderingsaktiwiteite soos geskeduleer uitgevoer is
- Doeltreffendheid toets — Bewyse dat de-identifikasie getoets is vir heridentifikasieweerstand, veral vir hoërrisiko-datastelle
- Tegniese metode dokumentasie — Beskrywing van die spesifieke de-identifikasietegnieke wat gebruik is (k-anonimiteit, differensiële privaatheid, tokenisering, ens.) en waarom hulle gekies is
- Hantering van uitsonderings — Dokumentasie van enige gevalle waar persoonlike inligting (PII) behou is buite die oorspronklike doel, met regverdiging (bv. wettige bewaring, regulatoriese bewaringsvereiste)
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.4.5 PII-minimaliseringsdoelwitte | De-identifikasie is 'n sleutelmeganisme binne die minimaliseringstrategie |
| A.1.4.8 Behoud | Bewaringstydperke bepaal wanneer de-identifikasie of verwydering geaktiveer moet word |
| A.1.4.9 Beskikking | Beskikkingsprosedures vul die verwyderingsprosedures vir fisiese media aan |
| A.1.4.7 Tydelike lêers | Tydelike lêers wat persoonlike inligting bevat, moet ook uitgevee word |
| A.1.4.2 Limietversameling | Minder insameling beteken minder data wat behandeling aan die einde van die lewe benodig |
| A.1.2.2 Identifiseer en dokumenteer doel | Doeldokumentasie definieer wanneer PII “nie meer nodig is nie” |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is de-identifikasie en verwydering aangespreek onder Klousule 7.4.5 (PII-de-identifikasie en -verwydering aan die einde van verwerking). Die 2025-beheer is wesenlik dieselfde, met dieselfde twee opsies (verwydering of de-identifikasie). Die implementeringsriglyne sluit nou 'n meer eksplisiete verwysing na ISO/IEC 20889 vir de-identifikasietegnieke in en plaas groter klem op die verifikasie van die doeltreffendheid van de-identifikasie. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van PII-de-identifikasie en -verwydering?
ISMS.aanlyn bied die gereedskap om die verpligtinge aan die einde van die lewensiklus te bestuur wat ouditeure noukeurig ondersoek:
- Bestuur van retensie-snellers — Definieer snellers vir de-identifikasie en verwydering gekoppel aan verwerkingsdoeleindes, met outomatiese waarskuwings wanneer snellers bereik word
- Verwydering- en de-identifikasielogboeke — Teken elke de-identifikasie- en verwyderingsaksie aan met tydstempels, metodes wat gebruik is en verifikasie-uitkomste
- Tegniekdokumentasie — Dokumenteer die de-identifikasiemetodes wat op elke datakategorie toegepas word, met die motivering vir die keuse van tegniek
- Uitsonderingsopsporing — Registreer en regverdig enige gevalle waar persoonlike inligting (PII) behou word buite die oorspronklike doel daarvan, en verseker dat wettige besittings en regulatoriese vereistes behoorlik gedokumenteer word
- Voldoeningsverslagdoening — Genereer einde-van-lewensiklusverslae wat toon dat de-identifikasie- en verwyderingsverpligtinge in alle PII-kategorieë nagekom word
Vrae & Antwoorde
Wanneer moet jy de-identifikasie bo verwydering kies?
De-identifikasie is gepas wanneer die onderliggende data waarde het vir sekondêre doeleindes (soos statistiese analise, navorsing of tendensrapportering), maar die individue nie meer identifiseerbaar hoef te wees nie. Skrapping is gepas wanneer daar geen verdere gebruik vir die data bestaan nie. Die keuse moet gedokumenteer word en die de-identifikasiemetode moet robuust genoeg wees om heridentifikasie te voorkom, veral gegewe die sensitiwiteit van die data.
Hoe verifieer jy dat de-identifikasie effektief is?
Verifikasie behels die toets of die gedeïdentifiseerde datastel herkoppel kan word aan individue deur die data self te gebruik of in kombinasie met ander beskikbare databronne. Tegnieke sluit in gemotiveerde indringertoetsing, k-anonimiteitsassessering en hersiening of kwasi-identifiseerders (soos geboortedatum gekombineer met poskode) heridentifikasie kan moontlik maak. ISO/IEC 20889 bied gedetailleerde leiding oor de-identifikasietegnieke en hul evaluering.
Wat van persoonlike inligting in rugsteun nadat die oorspronklike data uitgevee is?
PII in rugsteun bly binne die bestek. Organisasies moet 'n strategie hê om PII in rugsteun aan te spreek, wat kan insluit: die enkripsie van rugsteun sodat verwyderde data nie toeganklik is nie, selfs al bly dit bestaan; die toepassing van bewaringsbeleide op rugsteunsiklusse sodat ou rugsteun oorskryf word; of die aanvaarding en dokumentasie van die oorblywende risiko van PII in rugsteun met toepaslike toegangsbeheer. Die gekose benadering moet gedokumenteer en verdedigbaar wees.
sien ons gids vir vereistes vir ouditbewyse vir die spesifieke bewyse wat ouditeure verwag vir datakwaliteit en minimaliseringskontroles.
Teken hierdie kontrole in jou Verklaring van toepaslikheid met u regverdiging vir die toepaslikheid daarvan.
