Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.4.8: Behoud

Beheer A.1.4.8 vereis dat organisasies nie PII langer mag behou as wat nodig is vir die doeleindes waarvoor dit verwerk word nie. Bewaringsbestuur is een van die mees algemene geouditeerde areas van privaatheidsnakoming.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.4.8?

Die organisasie mag nie PII langer behou as wat nodig is vir die doeleindes waarvoor die PII verwerk word nie.

Hierdie beheer sit binne die PII-minimalisering doelwit (A.1.4) en spreek die tydsdimensie van dataminimalisering aan. Terwyl A.1.4.2 Limietversameling beperk wat jy insamel en A.1.4.3 Beperk Verwerking beperk wat jy daarmee doen, A.1.4.8 beperk hoe lank jy dit hou. Saam vorm hierdie kontroles 'n volledige minimaliseringsraamwerk.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.4.8) verskaf die volgende riglyne:

  • Definieer bewaringsperiodes — Vir elke kategorie van PII, definieer bewaringsperiodes gebaseer op die verwerkingsdoel en enige toepaslike wetlike vereistes (soos belastingrekordbewaring, arbeidswetgewing of sektorspesifieke regulasies)
  • Implementeer behoudskedules — Skep en onderhou formele bewaringskedules wat die bewaringsperiode, die snellergebeurtenis (bv. einde van kontrak, einde van diens) en die stappe wat by verstryking geneem moet word (skrapping of de-identifikasie) spesifiseer.
  • Hersien gestoorde PII gereeld — Hersien gestoorde PII gereeld teen bewaringskedules om data te identifiseer wat verwyder moes gewees het of wat sy bewaringslimiet nader.
  • Kommunikeer bewaringsperiodes — Stel PII-hoofde in kennis van die bewaringstydperke vir hul data, tipies deur privaatheidskennisgewings, wat die deursigtigheidsvereistes van ondersteun A.1.3.3 Inligting vir PII-hoofde

Behoudbestuur is nie 'n eenmalige oefening nie. Dit vereis deurlopende beheer om te verseker dat skedules gevolg word, uitsonderings geregverdig word en nuwe kategorieë van persoonlike inligting ingesluit word soos verwerkingsaktiwiteite ontwikkel.

Hoe pas dit by die GDPR?

Beheer A.1.4.8 karteer na die volgende BBP deursigtigheidsbepalings:

  • Artikel 13 (2) (a) — Vereis dat die beheerder die betrokke datasubjekte inlig oor die tydperk waarvoor persoonlike data gestoor sal word, of die kriteria wat gebruik word om daardie tydperk te bepaal, ten tyde van die insameling.
  • Artikel 14 (2) (a) — Dieselfde vereiste vir data wat indirek verkry is (nie van die betrokke persoon nie)

Die BBP Die beginsel van bergingsbeperking in Artikel 5(1)(e) is die primêre kartering vir hierdie beheer, met die deursigtigheidsbepalings wat die vereiste ondersteun om bewaringstydperke aan individue te kommunikeer.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun direk die ISO 29100 beginsel van Beperking van gebruik, bewaring en openbaarmaking, wat vereis dat persoonlike inligting slegs so lank as wat nodig is om die gestelde doeleindes te bereik, behou word. Die beginsel vereis ook dat bewaringstydperke gedefinieer word op grond van die toepaslike doel en aan persoonlike inligtingshoofde gekommunikeer word.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.4.8 beoordeel word, sal ouditeure tipies kyk na:

  • Behoudskedule — 'n Formele dokument wat elke kategorie van persoonlike inligting (PII), die gedefinieerde bewaringstydperk, die snellergebeurtenis, die regsbasis vir die tydperk (indien van toepassing) en die beskikkingsaksie lys.
  • Hersien rekords — Bewyse van periodieke hersienings van gestoorde PII teenoor die bewaringskedule, met gedokumenteerde uitkomste en enige korrektiewe stappe
  • Bewyse van wegdoening — Rekords wat toon dat PII verwyder is toe die bewaringstydperk daarvan verstryk het, met 'n skakel na A.1.4.9 wegdoening prosedures
  • Uitsonderingsregister — Dokumentasie van enige persoonlike inligting wat langer as die geskeduleerde tydperk behou word, met regverdiging (bv. regshandhawing, voortgesette dispuut, regulatoriese ondersoek)
  • Inhoud van privaatheidskennisgewing — Bewyse dat bewaringstydperke of -kriteria aan PII-hoofde deur middel van privaatheidskennisgewings gekommunikeer word
  • Stelselkonfigurasies — Tegniese instellings wat bewaringsperiodes afdwing of ondersteun (outomatiese argivering, outomatiese verwydering, vervaldatumvlae)

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.4.6 De-identifikasie en verwydering Definieer wat met PII gebeur wanneer die bewaringstydperk verstryk
A.1.4.9 Beskikking Verskaf die veilige wegdoeningsmetodes wat aan die einde van die behoud gebruik word
A.1.4.7 Tydelike lêers Tydelike lêers het hul eie kort bewaringsvereistes
A.1.4.5 PII-minimaliseringsdoelwitte Retensieskedules implementeer die tyddimensie van minimaliseringsdoelwitte
A.1.2.2 Identifiseer en dokumenteer doel Bewaringstydperke word afgelei van gedokumenteerde verwerkingsdoeleindes
A.1.3.3 Bepaling van inligting vir PII-hoofde Bewaringstydperke moet aan individue gekommunikeer word

Wat het verander van ISO 27701:2019?

In die 2019-uitgawe is behoud aangespreek onder Klousule 7.4.7 (behoud). Die 2025-beheer het dieselfde kernvereiste. Die herstruktureerde Aanhangsel A/B-formaat skei die beheerverklaring duideliker van die implementeringsriglyne. Die riglyne plaas nou groter klem op die kommunikasie van bewaringsperiodes aan PII-hoofde, wat die skakel tussen bewaringbestuur en deursigtigheidsverpligtinge versterk. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van PII-retensie?

ISMS.aanlyn maak behoudsbestuur prakties, konsekwent en ouditgereed:

  • Retensieskedulebouer — Skep formele bewaringskedules met kategorieë, periodes, snellergebeurtenisse, regsbasisse en beskikkingsaksies, alles in 'n gestruktureerde, soekbare formaat
  • Outomatiese vervalwaarskuwings — Ontvang kennisgewings wanneer PII sy behoudslimiet nader of bereik, wat die risiko van oorbehoud verminder
  • Hersieningsiklusbestuur — Beplan periodieke behoudbeoordelings met taaktoewysings, voltooiingsopsporing en gedokumenteerde uitkomste
  • Uitsonderingsbestuur — Dokumenteer en spoor bewaring uitsonderings (wettige houe, regulatoriese vereistes) met goedkeuringswerkvloeie en tydsbeperkte verlengings
  • Integrasie van privaatheidskennisgewing — Koppel bewaringsperiodes aan u privaatheidskennisgewings sodat veranderinge aan bewaringskedules in kommunikasie aan PII-hoofde weerspieël kan word.
  • Weggooiketting — Koppel bewaringskedules aan wegdoeningsprosedures onder A.1.4.9 Beskikking, die skep van 'n end-tot-end lewensiklusroete

Vrae & Antwoorde

Hoe bepaal jy die regte bewaringstydperk vir elke kategorie van PII?

Begin met die verwerkingsdoel: hoe lank word die PII werklik benodig om daardie doel te vervul? Kontroleer dan vir wetlike of regulatoriese bewaringsvereistes wat 'n minimum tydperk mag vereis (bv. belastingrekords, indiensnemingsrekords, finansiële rekords). Die bewaringstydperk moet die langer van die doelgebaseerde tydperk en die wetlike minimum wees, maar nie langer as dit nie. Waar geen wetlike vereiste bestaan ​​nie, moet die doelgebaseerde tydperk alleen van toepassing wees. Dokumenteer die rasionaal vir elke bewaringstydperk.

Wat veroorsaak die begin van 'n bewaringstydperk?

Die sneller hang af van die verwerkingskonteks. Algemene snellers sluit in: einde van die kliënteverhouding, voltooiing van 'n transaksie, verstryking van 'n kontrak, beëindiging van diens, laaste interaksie met die individu of die datum waarop die persoonlike inligting versamel is. Die sneller moet duidelik in die bewaringskedule gedefinieer word sodat die vervaldatum sonder dubbelsinnigheid bereken kan word.

Kan bewaringstydperke verskil vir dieselfde PII wat vir verskillende doeleindes gebruik word?

Ja. Dieselfde PII-veld kan verskillende bewaringstydperke hê, afhangende van die doel. Byvoorbeeld, 'n kliënt se e-posadres kan vir 12 maande na die einde van die kliënteverhouding vir diensopvolg behou word, maar vir 6 jaar vir finansiële rekordhoudingdoeleindes. Die langste toepaslike tydperk bepaal wanneer die PII uitgevee kan word, maar verwerking vir elke doel moet staak wanneer daardie doel se bewaringstydperk verstryk.

sien ons gids vir vereistes vir ouditbewyse vir die spesifieke bewyse wat ouditeure verwag vir datakwaliteit en minimaliseringskontroles.

Teken hierdie kontrole in jou Verklaring van toepaslikheid met u regverdiging vir die toepaslikheid daarvan.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.