Wat is die PII-verwerkerkontroles in ISO 27701:2025?
Tabel A.2 van ISO 27701:2025 Bylae A definieer 18 beheermaatreëls wat van toepassing is op enige organisasie wat as 'n PII-verwerker optree. 'n PII-verwerker verwerk PII namens en onder die instruksies van 'n PII-beheerder.
Hierdie beheermaatreëls word in vier doelwitte gegroepeer:
- Voorwaardes vir versameling en verwerking (A.2.2) — 6 beheermaatreëls wat kliëntooreenkomste, doelbeperkings, bemarkingsbeperkings en rekords dek
- Verpligtinge teenoor PII-hoofde (A.2.3) — 1 beheermaatreël wat voldoeningsbystand aan die kliënt dek
- Privaatheid deur ontwerp en privaatheid deur verstek (A.2.4) — 3 kontroles wat tydelike lêers, terugbesorging/verwydering van persoonlike inligting en oordrag dek
- PII-deling, -oordrag en -openbaarmaking (A.2.5) — 8 beheermaatreëls wat oordragte, openbaarmakings en subkontrakteursbestuur dek
Implementeringsriglyne vir elke beheermaatreël is in Aanhangsel B afdeling B.2 (bv. riglyne vir A.2.2.2 Kliëntooreenkoms is by B.2.2.2).
Volledige lys van Tabel A.2-kontroles
| Beheer | Titel | Opsomming |
|---|---|---|
| A.2.2.2 Kliëntooreenkoms | Kliëntooreenkoms | Verseker dat kontrakte die verwerker se rol in die bystand met kliëntverpligtinge aanspreek. |
| A.2.2.3 Organisasiedoelwitte | Organisasie se doelwitte | Verwerk slegs persoonlike inligting (PII) vir die doeleindes in die kliënt se gedokumenteerde instruksies. |
| A.2.2.4 Bemarking en Advertering | Bemarkings- en advertensiegebruik | Moenie gekontrakteerde PII vir bemarking gebruik sonder toepaslike PII-hooftoestemming nie |
| A.2.2.5 Oortredende Instruksie | Oortredende instruksie | Stel die kliënt in kennis indien 'n verwerkingsinstruksie toepaslike wetgewing oortree |
| A.2.2.6 Kliëntverpligtinge | Kliëntverpligtinge | Verskaf die kliënt inligting om hul nakoming te demonstreer |
| A.2.2.7 Rekords van Verwerking van PII | Rekords verwant aan die verwerking van PII | Handhaaf rekords wat voldoening aan kontraktuele PII-verpligtinge demonstreer |
| A.2.3.2 Verpligtinge teenoor PII-hoofde | Voldoen aan verpligtinge teenoor PII-hoofde | Voorsien die kliënt van die middele om aan die hoofverpligtinge van persoonlike inligting (PII) te voldoen |
| A.2.4.2 Tydelike lêers | Tydelike lêers | Verwyder tydelike lêers van PII-verwerking binne 'n gedokumenteerde tydperk |
| A.2.4.3 Terugbesorging, Oordrag of Beskikking | Terugbesorging, oordrag of beskikking van persoonlike inligting | Stuur, oordra of verwyder persoonlike inligting veilig en stel die polis beskikbaar |
| A.2.4.4 PII-oordragkontroles | PII-oordragkontroles | Onderwerp PII wat oor netwerke na toepaslike beheermaatreëls gestuur word |
| A.2.5.2 Basis vir PII-oordrag | Basis vir PII-oordrag tussen jurisdiksies | Stel die kliënt betyds in kennis van die basis vir internasionale PII-oordragte |
| A.2.5.3 Lande vir PII-oordrag | Lande en internasionale organisasies vir PII-oordrag | Spesifiseer en dokumenteer lande en organisasies waarheen PII oorgedra kan word |
| A.2.5.4 Rekords van PII-bekendmakings | Rekords van PII-openbaarmakings aan derde partye | Rekord van PII-bekendmakings, insluitend wat bekend gemaak is, aan wie en wanneer |
| A.2.5.5 Versoeke om PII-openbaarmaking | Kennisgewing van versoeke om PII-openbaarmaking | Stel die kliënt in kennis van enige wetlik bindende openbaarmakingsversoeke |
| A.2.5.6 Regsbindende Bekendmakings | Wetlik bindende PII-openbaarmakings | Verwerp nie-bindende versoeke en raadpleeg die kliënt voordat dit bekend gemaak word |
| A.2.5.7 Openbaarmaking van subkontrakteurs | Openbaarmaking van subkontrakteurs wat gebruik word om PII te verwerk | Maak aan die kliënt bekend of subkontrakteurs gebruik word voor gebruik |
| A.2.5.8 Betrokkenheid van subkontrakteurs | Aanstelling van 'n subkontrakteur om PII te verwerk | Gebruik slegs subkontrakteurs volgens die kliëntkontrak |
| A.2.5.9 Verandering van Subkontrakteur | Verandering van subkontrakteur om PII te verwerk | Stel die kliënt in kennis van beoogde veranderinge aan subkontrakteurs en laat beswaar toe |
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoe hou verwerkingsbeheermaatreëls verband met GDPR?
Tabel A.2 karteer hoofsaaklik na BBP Artikel 28 (verwerkerverpligtinge) en Artikel 30 (rekords van verwerking). Belangrike verbande:
- A.2.2.2 Kliëntooreenkoms–3 (Ooreenkomste en doeleindes) → Art. 28(3)(a), Art. 29 — verwerking onder beheerde se gesag
- A.2.2.7 Rekords van Verwerking van PII (Rekords) → Art. 30(2–5) — verwerker se rekords van verwerkingsaktiwiteite
- A.2.4.3 Terugbesorging, Oordrag of Beskikking (Terugbesorging/wegdoening) → Art. 28(3)(g) — verwydering of terugbesorging na diens eindig
- A.2.5.7 Openbaarmaking van subkontrakteurs–9 (Subkontrakteurs) → Art. 28(2–4) — subverwerkermagtiging en veranderinge
Wat geld nog vir PII-verwerkers?
Tabel A.2 is nie die volledige stel vereistes vir PII-verwerkers nie. Jy moet ook die toepaslike kontroles implementeer vanaf Tabel A.3 (gedeelde sekuriteitsbeheermaatreëls), wat die grondbeginsels van inligtingsekuriteit soos toegangsbeheer, voorvalbestuur, kriptografie en logging dek.
Hoekom kies ISMS.aanlyn vir PII-verwerker-nakoming?
ISMS.aanlyn help jou om elke Tabel A.2-kontrole te implementeer en te bewys:
- Kontrakbestuur — Spoor kliëntooreenkomste, verwerkingsdoeleindes en nakomingsverpligtinge op
- Subkontrakteurregister — Dokumenteer subkontrakteurs, hul liggings en die kliëntkennisgewingproses
- Oordragrekords — Hou 'n register van internasionale oordragte met wettige basisdokumentasie by
- Openbaarmakingslogboek — Teken alle PII-bekendmakings aan met besonderhede van wat, aan wie en wanneer
- Prosedures vir die einde van diens — Dokumenteer en volg PII-terugbesorgings-, oordrag- of wegdoeningsprosesse
- Dubbelrolondersteuning — Indien u as beide beheerder en verwerker optree, bestuur beide Tabel A.1 en A.2 op een plek
Vrae & Antwoorde
Waarom is daar slegs 18 verwerkerkontroles in vergelyking met 31 beheerderkontroles?
PII-verwerkers tree op onder die instruksies van die beheerder, daarom is baie privaatheidsbesluite (wettige basis, toestemming, regte van die betrokke persoon) die beheerder se verantwoordelikheid. Verwerkerbeheer fokus op kontraktuele nakoming, verwerkingsbeperkings, subkontrakteursbestuur en openbaarmakingshantering.
Kan 'n organisasie beide 'n beheerder en 'n verwerker wees?
Ja. Baie organisasies tree op as beheerders vir sommige verwerkingsaktiwiteite en verwerkers vir ander. In hierdie geval, beide Tabel A.1 en Tabel A.2 is van toepassing, met afsonderlike rolle wat vir elke verwerkingsaktiwiteit bepaal word. ISO 27701:2025 Klousule 4.1 vereis dat u u rol vir elke geval van PII-verwerking bepaal.
Het ek ook Tabel A.3 as 'n verwerker nodig?
Ja. Tabel A.3 (gedeelde sekuriteitsbeheermaatreëls) geld vir beide beheerders en verwerkers. As 'n verwerker benodig jy beide Tabel A.2 (verwerkerspesifiek) en Tabel A.3 (gedeelde sekuriteit) beheermaatreëls in u verklaring van toepaslikheid.
SaaS-organisasies sal pasgemaakte verwerkingsleiding in ons vind gids vir SaaS-platforms.
Kyk hoe verkrygingspanne ISO 27701 gebruik om verwerkers in ons te evalueer. verskaffer evalueringsgids en verkrygingsvereiste lei.
