Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.2.7: Rekords verwant aan die verwerking van persoonlike inligting (PII)

Beheer A.2.2.7 vereis dat PII-verwerkers die nodige rekords bepaal en byhou om voldoening aan hul verpligtinge vir die verwerking van PII namens 'n kliënt aan te toon. Hierdie rekords vorm die bewysbasis vir aanspreeklikheid.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.2.7?

Die organisasie moet die nodige rekords bepaal en byhou ter ondersteuning van die demonstrasie van voldoening aan sy verpligtinge (soos gespesifiseer in die toepaslike kontrak) vir die verwerking van PII wat namens 'n kliënt uitgevoer word.

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en stel die verwerker se eie rekordhoudingverpligtinge vas. Terwyl A.2.2.6 Kliëntverpligtinge vereis dat die verwerker kliënte help om voldoening te demonstreer, A.2.2.7 vereis dat die verwerker rekords vir sy eie aanspreeklikheid moet byhou. Hierdie rekords moet aantoon dat die verwerker aan sy kontraktuele verpligtinge en toepaslike wetlike vereistes voldoen het.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.2.7) verskaf die volgende riglyne:

  • Jurisdiksionele vereistes — Sommige jurisdiksies kan vereis dat die organisasie inligting soos die volgende aanteken:

Die leiding weerspieël direk die BBP Artikel 30(2) vereistes vir verwerkerrekords van verwerkingsaktiwiteite. Terwyl die ISO-standaard hierdie as jurisdiksionele vereistes raam, sal organisasies wat onder GDPR werk, dit as verpligte rekordhoudingverpligtinge erken.

Hoe pas dit by die GDPR?

Beheer A.2.2.7 karteer na die volgende BBP artikels:

  • Artikel 30 (2) (a) — Die naam en kontakbesonderhede van elke verwerker, van elke beheerder namens wie die verwerker optree, en van die beheerder of verwerker se verteenwoordiger en databeskermingsbeampte
  • Artikel 30 (2) (b) — Die kategorieë van verwerking wat namens elke beheerder uitgevoer word
  • Artikel 30 (3) — Rekords moet skriftelik wees, insluitend in elektroniese vorm
  • Artikel 30 (4) — Die verwerker moet die rekord op versoek aan die toesighoudende owerheid beskikbaar stel
  • Artikel 30 (5) — Vrystelling vir organisasies met minder as 250 werknemers, tensy die verwerking waarskynlik 'n risiko tot gevolg sal hê, nie af en toe is nie, of spesiale kategorieë data insluit.

Artikel 30(2) van die AVG verskaf 'n spesifieke, minimum lys van wat verwerkerrekords moet bevat. Organisasies moet dit as 'n ondergrens, nie 'n plafon, beskou.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.7 as 'n alleenstaande beheermaatreël met implementeringsriglyne in B.2.2.7 wat die jurisdiksionele rekordhoudingvereistes duidelik lys. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.2.7 beoordeel word, sal ouditeure tipies kyk na:

  • Rekords van verwerkingsaktiwiteite — 'n Gehoue ​​register van verwerkingsaktiwiteite wat namens elke kliënt uitgevoer word, insluitend verwerkingskategorieë, datatipes en doeleindes
  • Oordragrekords — Dokumentasie van enige PII-oordragte na derde lande of internasionale organisasies, insluitend die regsgrondslag vir elke oordrag
  • Dokumentasie van sekuriteitsmaatreëls — 'n Algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls wat in plek is vir die verwerking van persoonlike inligting
  • Kontak besonderhede — Rekords gehou van die kontakbesonderhede van die verwerker, beheerder, verteenwoordiger en DPO vir elke verwerkingsreëling
  • Rekordonderhoudproses — 'n Gedokumenteerde proses om rekords op datum te hou, insluitend hersieningskedules en opdateringsaanpassings

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.2.6 Kliëntverpligtinge Verwerkingsrekords ondersteun die inligting wat aan kliënte verskaf word vir hul nakoming
A.2.2.3 Organisasie se doelwitte Rekords moet aantoon dat verwerking ooreenstem met gedokumenteerde kliëntdoeleindes.
A.1.2.9 Rekords (beheerder) Die beheerderkant-ekwivalent van verwerkingsrekordvereistes
A.3.14 Beskerming van rekords Verwerkingsrekords moet veilig gestoor word en beskerm word teen ongemagtigde wysiging.
A.2.5.2 Basis vir PII-oordrag Grensoorskrydende oordragrekords is 'n sleutelkomponent van die verwerking van rekords

Op wie is hierdie beheer van toepassing?

A.2.2.7 is uitsluitlik van toepassing op PII-verwerkersDit skep 'n onafhanklike rekordhoudingverpligting vir verwerkers, apart van die beheerder se eie rekordhoudingvereistes kragtens A.1.2.9 Rekords van Verwerking van PIIIngevolge die AVG is die vrystelling vir klein besighede in Artikel 30(5) selde in die praktyk van toepassing, omdat die meeste verwerking nie werklik "geleentheid" is nie en baie verwerkers spesiale kategorieë data hanteer. Verwerkers moet dus rekords byhou ongeag die grootte van die organisasie.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die verwerking van rekordbestuur?

ISMS.aanlyn bied praktiese gereedskap vir die instandhouding van verwerkingsaktiwiteite vir verwerkers:

  • Verwerkingsregister — Handhaaf 'n sentrale, gestruktureerde register van alle verwerkingsaktiwiteite per kliënt, met kategorieë, datatipes, doeleindes en sekuriteitsmaatreëls gedokumenteer
  • Oordragopsporing — Teken grensoverschrijdende PII-oordragte aan en monitor dit met wettige basisdokumentasie en bestemmingslandopsporing
  • Outomatiese aanmanings — Beplan periodieke rekordhersienings met outomatiese herinneringe om te verseker dat rekords op datum en akkuraat bly
  • Gereedheid van toesighoudende owerhede — Genereer rekords in 'n formaat wat geskik is vir versoeke van toesighoudende owerhede, wat voldoen aan die verpligtinge van Artikel 30(4) van die AVG
  • Weergawe geskiedenis — Handhaaf 'n volledige weergawegeskiedenis van verwerkingsrekords, wat wys hoe verwerkingsreëlings oor tyd verander het

Vrae & Antwoorde

Wat moet verwerkerrekords bevat?

Ingevolge AVG Artikel 30(2) moet verwerkerrekords die volgende bevat: die naam en kontakbesonderhede van elke verwerker en elke beheerder namens wie dit optree, plus hul verteenwoordigers en DPO's waar van toepassing; die kategorieë van verwerking wat namens elke beheerder uitgevoer word; oordragte na derde lande of internasionale organisasies, insluitend die regsbasis; en 'n algemene beskrywing van tegniese en organisatoriese sekuriteitsmaatreëls. Beste praktyk brei dit uit om die tipes PII wat verwerk word, die regsbasis vir verwerking, subverwerkerbesonderhede en bewaringstydperke in te sluit.

Hoe gereeld moet rekords opgedateer word?

Rekords moet opgedateer word wanneer daar 'n wesenlike verandering aan verwerkingsreëlings is, soos 'n nuwe kliënt, 'n verandering in verwerkingskategorieë, 'n nuwe subverwerker, 'n nuwe grensoorskrydende oordrag of 'n verandering in sekuriteitsmaatreëls. Daarbenewens moet rekords gereeld (ten minste jaarliks) hersien word om te verifieer dat hulle akkuraat en volledig bly. Baie organisasies integreer rekordopdaterings in hul veranderingsbestuursprosesse om te verseker dat opdaterings intyds plaasvind.

Moet verwerkers met minder as 250 werknemers rekords byhou?

Artikel 30(5) van die AVG bied 'n beperkte vrystelling vir organisasies met minder as 250 werknemers, maar dit is slegs van toepassing indien die verwerking waarskynlik nie 'n risiko vir data-onderwerpe sal inhou nie, af en toe is en nie spesiale kategorieë data of kriminele oortredingsdata insluit nie. In die praktyk val die meeste verwerkers buite hierdie vrystelling omdat hul verwerking gereeld is (nie af en toe nie) en datatipes kan insluit wat die uitsondering veroorsaak. ISO 27701 sluit nie 'n soortgelyke vrystelling in nie, dus moet alle verwerkers wat sertifisering soek, rekords byhou ongeag die grootte.

sien ons gids vir vereistes vir ouditbewyse vir die volledige lys van rekords wat ouditeure van verwerkers verwag.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.