Wat vereis beheer A.2.2.3?
Die organisasie moet verseker dat persoonlike inligting (PII) wat namens 'n kliënt verwerk word, slegs verwerk word vir die doeleindes wat in die gedokumenteerde instruksies van die kliënt uiteengesit word.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en stel die mees fundamentele verwerkerverpligting vas: doelbeperking. 'n Verwerker bestaan om die beheerder se instruksies uit te voer, nie om sy eie doelwitte met die data na te streef nie. Enige verwerking verder as wat die kliënt gedokumenteer en opdrag gegee het, verteenwoordig 'n oortreding van hierdie beheer en moontlik 'n oortreding van databeskermingswetgewing.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.2.3) verskaf die volgende riglyne:
- Dokumenteer die diensdoelwit en tydsraamwerk — Die kontrak tussen die organisasie en die kliënt moet die doelwit en tydsraamwerk wat deur die diens bereik moet word, insluit, maar nie daartoe beperk wees nie.
- Laat tegniese diskresie binne algemene instruksies toe — Daar kan tegniese redes wees waarom dit gepas is vir die organisasie om die metode vir die verwerking van persoonlike inligting te bepaal, in ooreenstemming met die algemene instruksies van die kliënt, maar sonder die kliënt se uitdruklike instruksie. Byvoorbeeld, die toewysing van spesifieke verwerkingsbronne afhangende van sekere eienskappe van die persoonlike inligtingshoof.
- Aktiveer kliëntverifikasie — Die organisasie moet die kliënt toelaat om sy nakoming van die doelspesifikasie- en beperkingsbeginsels te verifieer
- Brei uit na subkontrakteurs — Dit verseker ook dat geen persoonlike inligting (PII) deur die organisasie of enige van sy subkontrakteurs verwerk word vir ander doeleindes as dié wat in die gedokumenteerde instruksies van die kliënt uiteengesit word nie.
- Sien ook A.2.2.6: Kliëntverpligtinge vir verwante vereistes
Die riglyne vind 'n pragmatiese balans: verwerkers mag tegniese besluite neem oor hoe om data doeltreffend te verwerk, maar hulle mag nie die doel waarvoor data verwerk word, verander nie. Die kliënt moet kan verifieer dat hierdie grens gerespekteer word.
Hoe pas dit by die GDPR?
Beheer A.2.2.3 karteer na die volgende BBP artikels:
- Artikel 5 (1) (a) — Die beginsel van wettigheid, billikheid en deursigtigheid
- Artikel 5 (1) (b) — Die doelbeperkingsbeginsel, wat vereis dat persoonlike data vir spesifieke, eksplisiete en wettige doeleindes ingesamel word en nie verder verwerk word op 'n wyse wat onversoenbaar is met daardie doeleindes nie
- Artikel 28 (3) (a) — Die verwerker mag persoonlike data slegs verwerk op gedokumenteerde instruksies van die beheerder
- Artikel 29 — Die verwerker mag nie persoonlike data verwerk nie, behalwe op instruksies van die beheerder.
- Artikel 32 (4) — Enige persoon wat onder die gesag van die verwerker optree en toegang tot persoonlike data het, mag dit nie verwerk nie, behalwe op instruksies van die beheerder.
Onder BBP, 'n verwerker wat data verwerk buite die kliënt se gedokumenteerde instruksies, loop die risiko om herklassifiseer te word as 'n beheerder vir daardie verwerking, met al die wetlike verpligtinge wat dit meebring.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.3 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.2.3 wat die grens tussen wettige tegniese diskresie en ongemagtigde doeluitbreiding verduidelik. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.2.3 beoordeel word, sal ouditeure tipies kyk na:
- Gedokumenteerde kliëntinstruksies — Duidelike, skriftelike instruksies van elke kliënt wat die doeleindes spesifiseer waarvoor PII verwerk mag word
- Verwerking van rekords — Rekords wat toon dat werklike verwerkingsaktiwiteite ooreenstem met gedokumenteerde kliëntinstruksies
- Verifikasiemeganismes — Bewyse dat kliënte doelnakoming kan verifieer, soos ouditregte, verslagdoeningsvermoëns of deursigtigheidsdashboards
- Subkontrakteurkontroles — Bewyse dat die doelbeperkingsverpligting oorgedra word na enige subkontrakteurs wat betrokke is by die verwerking van persoonlike inligting (PII).
- personeelopleiding — Opleidingsrekords wat toon dat personeel verstaan dat hulle nie persoonlike inligting mag verwerk buite die kliënt se gedokumenteerde doeleindes nie.
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.2.2 Kliëntooreenkoms | Die kontrak moet die verwerkingsdoeleindes en instruksies dokumenteer |
| A.2.2.4 Bemarkings- en advertensiegebruik | 'n Spesifieke verbod op die gebruik van persoonlike inligting (PII) vir bemarking buite kliëntinstruksies |
| A.2.2.5 Oortredende instruksie | Die verwerker moet kliëntinstruksies merk wat die wet mag oortree. |
| A.2.5.8 Aanstelling van subkontrakteur | Subkontrakteurs moet ook gebonde wees aan die kliënt se doelbeperkings. |
| A.2.2.7 Rekords van verwerking | Rekords moet aantoon dat verwerking ooreenstem met gedokumenteerde doeleindes |
Op wie is hierdie beheer van toepassing?
A.2.2.3 is uitsluitlik van toepassing op PII-verwerkersDit is die verwerkerkantse implementering van die doelbeperkingsbeginsel. Beheerders definieer die doeleindes; verwerkers moet streng binne daardie grense bly. Enige verwerking vir die organisasie se eie doeleindes (analise, produkverbetering, KI-opleiding) sonder eksplisiete kliëntmagtiging sal hierdie beheer oortree.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir nakoming van doelbeperking?
ISMS.aanlyn bied praktiese gereedskap om doelbeperking as 'n verwerker te demonstreer:
- Verwerkingsregister — Dokumenteer en hou 'n register van verwerkingsaktiwiteite per kliënt in stand, gekoppel aan hul gedokumenteerde instruksies en doeleindes
- Kliëntinstruksieopsporing — Teken kliëntinstruksies aan met weergawebeheer, om te verseker dat u kan demonstreer watter instruksies op enige tydstip van krag was
- Subkontrakteurbestuur — Beperkings op vloeidoel tot by subkontrakteurs met kontrakopsporing en nakomingsmonitering
- Ouditondersteuning — Voorsien kliënte van bewyspakkette wat doelnakoming demonstreer en hul verifikasieregte ondersteun
- Beleidsbestuur — Publiseer en versprei doelbeperkingsbeleide aan personeel met erkenningsopsporing
Vrae & Antwoorde
Kan 'n verwerker PII gebruik vir sy eie analise of produkverbetering?
Nie sonder uitdruklike toestemming van die kliënt nie. Die gebruik van kliënt-PII vir die verwerker se eie doeleindes – soos die opleiding van masjienleermodelle, maatstafvergelyking, produkverbetering of analise – is verwerking wat verder strek as die gedokumenteerde instruksies en oortree A.2.2.3. Ingevolge AVG kan 'n verwerker wat eensydig besluit om data vir sy eie doeleindes te verwerk, as 'n beheerder vir daardie verwerking behandel word, wat alle verpligtinge van die beheerder en potensiële aanspreeklikheid erf.
Wat is die grens tussen tegniese diskresie en doeluitbreiding?
Tegniese diskresie beteken dat die verwerker kan besluit hoe om die kliënt se doel doeltreffend te bereik – byvoorbeeld, om te kies watter bedieners om te gebruik, hoe om verwerkingsbronne toe te ken of watter kasstrategie om toe te pas. Doeluitbreiding beteken dat die verwerker die data gebruik vir 'n doel wat die kliënt nie opdrag gegee het nie – byvoorbeeld, om PII-patrone te ontleed vir die verwerker se eie besigheidsinsigte. Die toets is of die verwerking die kliënt se gedokumenteerde doel of die verwerker se eie belange dien.
Hoe moet doelbeperkings aan personeel gekommunikeer word?
Alle personeel wat toegang het tot kliënt-persoonlike inligting (PII) moet verstaan dat hulle dit slegs mag verwerk vir die doeleindes wat in die kliënt se instruksies gedokumenteer is. Dit moet in aanboordopleiding gedek word, in gereelde bewustmakingsessies versterk word en in rolgebaseerde toegangsbeheer weerspieël word. Tegniese beheermaatreëls moet ook doelbeperking afdwing waar moontlik – byvoorbeeld, die beperking van data-uitvoere, die voorkoming van grootmaat-aflaaie en die aantekening van alle toegang vir ouditdoeleindes.
SaaS-organisasies staar unieke verwerkeruitdagings in die gesig — sien ons gids vir SaaS-platforms.
ons gids vir vereistes vir ouditbewyse dek die bewyse wat ouditeure vir verwerkerkontroles verwag.
