Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.3.2: Voldoen aan verpligtinge teenoor PII-hoofde

Beheer A.2.3.2 vereis dat PII-verwerkers die kliënt die middele moet bied om aan sy verpligtinge met betrekking tot PII-beginsels te voldoen. Dit verseker dat verwerkers beheerders in staat stel om data-onderwerpregte soos toegang, regstelling en verwydering te vervul.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.3.2?

Die organisasie moet die kliënt die middele bied om aan sy verpligtinge met betrekking tot PII-prinsipale te voldoen.

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek 'n kritieke praktiese uitdaging aan: beheerders het wetlike verpligtinge teenoor data-onderwerpe (soos om op toegangsversoeke te reageer, data reg te stel en data te verwyder), maar hulle kan nie hierdie verpligtinge nakom as hul verwerkers nie die nodige vermoëns verskaf nie. A.2.3.2 plaas die verpligting op die verwerker om te verseker dat die tegniese en organisatoriese middele om data-onderwerpregte te vervul, beskikbaar is.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.3.2) verskaf die volgende riglyne:

  • Verpligtinge word deur die wet of kontrak gedefinieer — 'n PII-beheerder se verpligtinge kan deur wetlike vereistes of deur 'n kontrak gedefinieer word. Hierdie verpligtinge kan sake insluit waar die kliënt die dienste van die organisasie vir implementering gebruik
  • Praktiese voorbeelde — Dit kan byvoorbeeld die tydige regstelling of verwydering van persoonlike inligting insluit
  • Kontraktuele spesifikasie — Waar 'n kliënt op die organisasie staatmaak vir inligting of tegniese maatreëls om die nakoming van die verpligtinge teenoor PII-prinsipale te vergemaklik, moet die relevante inligting of tegniese maatreëls in 'n kontrak gespesifiseer word.
  • Sien ook A.2.4.2: Tydelike lêers vir verwante vereistes
  • Sien ook A.2.4.4: PII-oordragkontroles vir verwante vereistes

Die riglyne maak dit duidelik dat dit nie 'n abstrakte verpligting is nie – verwerkers moet konkrete vermoëns verskaf soos die vermoë om individuele PII-rekords op versoek op te haal, uit te voer, reg te stel en te verwyder. Hierdie vermoëns moet in die kontrak gedefinieer word sodat beide partye verstaan ​​wat die verwerker sal verskaf.

Hoe pas dit by die GDPR?

Beheer A.2.3.2 karteer na die volgende BBP artikels:

  • Artikel 15 (3) — Die reg op toegang, insluitend die reg om 'n afskrif te bekom van die persoonlike data wat verwerking ondergaan
  • Artikel 17 (2) — Die verantwoordelike se verpligting om ander beheerders wat die data verwerk, in te lig oor die betrokke persoon se versoek om uitwissing
  • Artikel 28(3)(e) — Die verwerker moet die beheerder bystaan ​​om te verseker dat verpligtinge met betrekking tot die regte van die betrokke persoon nagekom word (Artikels 15 tot 22)

BBP Artikel 28(3)(e) vereis uitdruklik dat verwerkers beheerders moet bystaan ​​met alle data-onderwerpregte: toegang (Artikel 15), regstelling (Artikel 16), uitwissing (Artikel 17), beperking (Artikel 18), data-oordraagbaarheid (Artikel 20) en beswaar (Artikel 21). Die verwerker moet die vermoë hê om elk van hierdie regte te ondersteun.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.3.2 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.3.2 wat praktiese voorbeelde insluit en kontraktuele spesifikasie van die verwerker se verpligtinge beklemtoon. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.3.2 beoordeel word, sal ouditeure tipies kyk na:

  • Regtevermoë vir data-onderwerpe — Bewyse dat die organisasie se stelsels en prosesse alle relevante data-onderwerpregte kan ondersteun: toegang, regstelling, uitwissing, beperking, oordraagbaarheid en beswaar
  • Kontraktuele bepalings — Kontrakbepalings wat die tegniese en organisatoriese maatreëls spesifiseer wat die verwerker verskaf om die vervulling van die regte van die betrokke persoon te ondersteun
  • Prosedures vir die hantering van versoeke — Gedokumenteerde prosedures vir die hantering van versoeke om data-onderwerpregte wat deur kliënte gestuur word, insluitend reaksietydsraamwerke
  • Tegniese vermoë — Bewyse van tegniese vermoëns soos data-uitvoerfunksies, individuele rekordverwydering, datakorreksie-instrumente en ouditspore van veranderinge wat aangebring is
  • Reaksierekords — Rekords van versoeke vir data-onderwerpregte wat van kliënte ontvang is en die stappe wat geneem is, wat tydige en volledige nakoming demonstreer

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.2.2 Kliëntooreenkoms Die kontrak moet die verwerker se verpligtinge spesifiseer vir die ondersteuning van data-onderwerpregte.
A.1.3.7 Toegang, regstelling of uitwissing Die beheerderkantregte wat die verwerker moet aktiveer
A.1.3.10 Hantering van versoeke Die beheerder se versoekhanteringsproses hang af van verwerkerondersteuning
A.2.4.3 Terugbesorging, oordrag of beskikking Dataportabiliteit en uitwissingsmoontlikhede ondersteun data-onderwerpregte
A.2.2.6 Kliëntverpligtinge Die ondersteuning van die regte van data-onderwerpe is 'n belangrike deel daarvan om kliënte te help om nakoming te demonstreer

Op wie is hierdie beheer van toepassing?

A.2.3.2 is uitsluitlik van toepassing op PII-verwerkersDit erken dat beheerders nie hul verpligtinge teenoor datasubjekte kan nakom sonder die samewerking van die verwerker nie. Indien 'n verwerker se stelsels nie individuele rekordherwinning, regstelling of verwydering ondersteun nie, kan die beheerder nie op versoeke van die datasubjek reageer nie – wat 'n nakomingsversaking vir die beheerder is, maar 'n kontraktuele en moontlik wettige versuim vir die verwerker.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die ondersteuning van PII-hoofregte?

ISMS.aanlyn bied praktiese gereedskap vir die ondersteuning van data-onderwerpregte as verwerker:

  • Versoek bestuur — Spoor en bestuur versoeke vir data-onderwerpregte wat van kliënte ontvang word met werkvloeibestuur, toewysing- en sperdatumopsporing
  • Vermoëdokumentasie — Dokumenteer u data-onderwerpregte-vermoëns per diens of stelsel, en wys kliënte presies wat u kan ondersteun
  • Reaksieopsporing — Teken antwoorde op elke versoek aan met tydstempels, aksies wat geneem is en bewyse, wat 'n volledige ouditspoor skep
  • SLA monitering — Monitor reaksietye teenoor kontraktuele SLA's, met waarskuwings vir versoeke wat hul sperdatum nader
  • Bewysbestuur — Stoor versoekhanteringsbewyse in 'n gestruktureerde formaat vir ouditgereedheid en kliëntrapportering

Vrae & Antwoorde

Watter data-onderwerpregte moet verwerkers ondersteun?

Ingevolge die AVG moet verwerkers beheerders kan bystaan ​​met: die reg op toegang (herwinning en uitvoer van 'n individu se data); die reg op regstelling (korreksie van onakkurate data); die reg op uitwissing (verwydering van 'n individu se data); die reg op beperking van verwerking (merk data om die gebruik daarvan te beperk); die reg op dataportabiliteit (verskaf data in 'n gestruktureerde, masjienleesbare formaat); en die reg om beswaar te maak (staak van die verwerking van spesifieke data). Die verwerker se stelsels moet ontwerp word om al hierdie regte vir individuele rekords te ondersteun.

Wie reageer op datasubjekte — die beheerder of die verwerker?

Die beheerder is verantwoordelik vir die reaksie op datasubjekte. Die verwerker verskaf die middele vir die beheerder om aan die versoek te voldoen. Indien 'n datasubjek die verwerker direk kontak, moet die verwerker die versoek na die betrokke beheerder herlei (tensy die kontrak anders bepaal). Die verwerker moet nie direk met datasubjekte oor hul regte kommunikeer nie, tensy die beheerder dit magtig.

Wat gebeur as die verwerker nie tegnies aan 'n versoek kan voldoen nie?

Indien die verwerker se stelsels nie 'n spesifieke data-onderwerp se reg kan ondersteun nie (byvoorbeeld, die gedetailleerde verwydering van individuele rekords vanaf rugsteunstelsels), moet hierdie beperking aan die kliënt bekend gemaak word voordat die kontrak aangegaan word. Die kontrak moet duidelik aandui wat die verwerker kan en nie kan doen nie, en watter oplossings beskikbaar is. Die ontwerp van stelsels om data-onderwerp se regte van die begin af te ondersteun (A.3.29 Veilige Stelselargitektuur) is aansienlik makliker en goedkoper as om hierdie vermoë later op te gradeer.

ons gids vir vereistes vir ouditbewyse gee besonderhede oor wat verwerkers moet demonstreer vir die verpligtinge van die betrokke persoon.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.